APPLE MALWARE
Imagen original de Xataca.

El malware AMOS Mac apunta a todo aquello que quieres proteger

AMOS se oculta en una imagen de disco estándar utilizada para instalar aplicaciones de terceros.

El nuevo malware AMOS Mac apunta a contraseñas, archivos personales y billeteras criptográficas.

AMOS Mac es el nuevo malware para los usuarios de Mac que reside en Telegram. Según un nuevo informe de Cyble Research and Intelligence Labs (CRIL), los piratas informáticos han creado un nuevo malware que se dirige a macOS y roba información privada importante, como contraseñas de cuentas de usuario de macOS, wallets, información del sistema y archivos en la carpeta Escritorio y Documentos.

amos
Ventana de activación de AMOS | Imagen original de Cyble.

Telegram

El malware también se dirige a los navegadores y busca información como nombres de usuario, contraseñas, números de tarjetas de crédito, cookies y más. La investigación de CRIL también encontró que AMOS apunta, específicamente, a las billeteras criptográficas de Atomic, Binance, Coinomi, Electrum, Exodus y otros.

El actor de amenazas detrás de este ladrón mejora constantemente el malware y agrega nuevas capacidades para hacerlo más efectivo. CRIL encontró a AMOS en Telegram, un servicio que ofrece canales privados de mensajes.

En uno de estos canales, los creadores de AMOS publicitaron su malware por 1.000 dólares al mes. Si uno reclutara a AMOS, tendría acceso al malware, así como a un panel web para administrar víctimas, fuerza bruta de meta-máscara para robar seads y claves privadas, verificador de criptografía e instalador dmg, después de lo cual comparte los registros por Telegram.

AMOS: Atomic macOS Stealer

AMOS se propaga a través de archivos de imagen de disco sin firmar (.dmg), que son comunes al descargar nuevas aplicaciones. Cuando el usuario abre el archivo .dmg, se le pide que ingrese la contraseña de usuario de su Mac, lo que activa el malware.

El archivo .dmg puede tener nombres de archivo que parecen legítimos. Se han informado instancias de imágenes de disco falsas etiquetadas como Notion-7.0.6.dmg, Photoshop CC 2023.dmg y Tor Browser.dmg en VirusTotal, un sitio web que analiza archivos sospechosos y los rastrea en una base de datos.

El informe CRIL sigue a un informe de la semana pasada de MalwareHunterTeam, que descubrió que un colectivo conocido como LockBit está trabajando en cifrados de ransomware que atacan macOS. Como señaló Wired en su informe de LockBit, los actores de amenazas están comenzando a apuntar a las Mac con más frecuencia en un esfuerzo por encontrar nuevas víctimas.