Analistas de cibersegurança descobriram uma nova e perigosa versão do Atomic macOS Stealer (também conhecido como AMOS), um malware de roubo de informação que agora vem equipado com um backdoor. Este novo componente garante aos atacantes acesso persistente aos sistemas comprometidos, permitindo-lhes manter o controlo indefinidamente.
A descoberta foi detalhada pela Moonlock, a divisão de cibersegurança da MacPaw, após um alerta do investigador independente g0njxa, que monitoriza de perto a atividade deste tipo de ameaças. A nova capacidade permite a execução remota de comandos arbitrários e sobrevive a reinicializações do sistema.
"As campanhas do malware AMOS já atingiram mais de 120 países, com os Estados Unidos, França, Itália, Reino Unido e Canadá entre os mais afetados", afirmam os investigadores. "A versão com backdoor do Atomic macOS Stealer tem agora o potencial de ganhar acesso total a milhares de dispositivos Mac em todo o mundo."
Uma porta das traseiras persistente no seu Mac
O componente central deste backdoor é um ficheiro executável chamado ".helper", que é descarregado e guardado como um ficheiro oculto no diretório principal do utilizador após a infeção inicial. Para garantir a sua persistência, um script chamado ".agent" (também oculto) executa o ".helper" continuamente.
Para sobreviver a um simples reiniciar do sistema, o malware instala um LaunchDaemon (com.finder.helper) através de um AppleScript. Esta ação, que garante que o script ".agent" é executado no arranque do sistema, é realizada com privilégios elevados, utilizando a palavra-passe do utilizador que foi roubada durante a fase inicial da infeção sob um falso pretexto. Com este nível de acesso, o malware pode executar comandos e alterar a propriedade do LaunchDaemon para "root:wheel", o nível máximo de superutilizador no macOS.
Uma vez ativo, o backdoor permite aos atacantes executar comandos remotamente, registar tudo o que é teclado (keylogging), introduzir malware adicional ou explorar a rede para infetar outros dispositivos. Para dificultar a sua deteção, a ameaça verifica ativamente se está a ser executada em ambientes de análise (sandbox) ou máquinas virtuais e utiliza técnicas de ofuscação de código.
A evolução e novos alvos do Atomic Stealer
O Atomic Stealer, documentado pela primeira vez em abril de 2023, é uma operação de Malware-as-a-Service (MaaS) promovida em canais do Telegram por uma subscrição mensal de 1.000 dólares (cerca de 920 euros). O seu principal objetivo é roubar ficheiros, dados de extensões de criptomoedas e palavras-passe guardadas nos navegadores de internet em sistemas macOS.
Ao longo do tempo, a sua sofisticação tem aumentado. Em novembro de 2023, foi utilizado na primeira expansão das campanhas "ClearFake" para macOS e, em setembro de 2024, foi detetado numa campanha em larga escala do grupo de cibercrime "Marko Polo".
O relatório da Moonlock destaca também uma mudança recente nas táticas de distribuição. Se antes o AMOS se propagava através de sites de software pirateado, agora foca-se em ataques de phishing direcionados a detentores de criptomoedas e em falsos convites de entrevista de emprego para freelancers. Esta evolução demonstra que os utilizadores de macOS são alvos cada vez mais atrativos e que as campanhas maliciosas se estão a tornar mais complexas e direcionadas.
Nenhum comentário
Seja o primeiro!