MacOS Malware AMOS aggiornamenti con funzionalità di backdoor per l' accesso continuo al sistema
In un recente sviluppo, i ricercatori della sicurezza informatica hanno scoperto che il furto di dati macOS Atomico (AMOS) ha incluso un backdoor incorporato, segnando un importante cambiamento in una delle minacce più attive che colpiscono gli utenti di macOS.
Per la prima volta segnalato da Moonlock, una divisione della sicurezza informatica di MacPaw, il 4 luglio, si tratta solo del secondo caso noto di distribuzione di backdoor su scala globale che colpisce gli utenti di macOS, il primo è stato distribuito da attori minacciosi nordcoreani.
La nuova versione di AMOS con backdoor rappresenta un significativo aumento delle sue capacità e intenzioni. Inizialmente, l'obiettivo principale di AMOS era l'estrazione di dati da estensioni del browser e portafogli crittografici. Tuttavia, con l'aggiunta di un backdoor, la minaccia si estende ora oltre ai soli credenziali o documenti rubati al completo compromesso del sistema su macOS.
Il backdoor consente agli aggressori di mantenere l'accesso persistente a un Mac vittima, eseguire compiti arbitrali da server remoti e acquisire un controllo esteso sui macchinari compromessi. Questo accesso persistente consente una vasta gamma di compiti, come la sorveglianza a lungo termine, la reinfezione e la registrazione della tastiera.
Secondo un ricercatore anonimo della minaccia cyber nota come @g0njxa, gli sviluppatori di AMOS sono probabili a lavorare su nuove funzionalità, una rivendicazione che è stata successivamente confermata dal ricercatore. Le chat interne condivise da @g0njxa suggeriscono inoltre che il gruppo dietro AMOS sta attualmente lavorando all'aggiunta di funzionalità di registrazione della tastiera.
AMOS viene principalmente consegnato attraverso siti Web che offrono software crack o falsi e campagne di phishing mirate a individui ad alto valore come grandi proprietari di criptovalute. Nelle campagne di phishing mirate, AMOS viene spesso consegnato durante un processo di colloquio di lavoro, tipicamente rivolto ad artisti o liberi professionisti.
Il gruppo minaccioso dietro AMOS è probabile che si basi in Russia ed è noto per il targeting degli utenti Apple con malware per il furto di dati. Gli attori attualmente dietro il furto di dati macOS Atomico lo distribuiscono principalmente attraverso versioni crack o pirata di app macOS legittime e CAPTCHA false. Questi aggressori sono anche noti come mentalpositive sui forum dark web, che esprimono il desiderio di "affari equi" tra gli sviluppatori di malware.
La comunicazione tra i carichi utili di AMOS e l'infrastruttura di comando e controllo (C2) del gruppo minaccioso è passata da un singolo scarico di dati a compiti più complessi, con l'assegnazione di identificatori unici a ciascun host infetto. La nuova logica per impostare la persistenza in AMOS è implementata in una funzione chiamata installBot.
I hacker nordcoreani utilizzano una dozzina di comandi C2 per eseguire più compiti sul dispositivo infetto, un livello di complessità che le funzionalità attuali dell'ultima pianta di AMOS backdoored non raggiungono ancora. Tuttavia, con gli sforzi di sviluppo in corso monitorati dai ricercatori della sicurezza informatica a metà del 2025, ci si attende che le capacità di AMOS continueranno a evolversi.
In conclusione, l'aggiunta di un backdoor ad AMOS segna un importante cambiamento nel suo profilo minaccioso, estendendosi oltre al furto di dati al compromesso del sistema. Si consiglia agli utenti di essere vigili, evitare il download di software non verificati e mantenere i propri sistemi aggiornati per proteggersi da tali minacce.
Leggi anche:
- Un'antica spada dei crociati scoperta nel Mar Mediterraneo da un subacqueo israeliano dopo 900 anni
- Un subacqueo scopre un'antica spada crociata di 900 anni nel Mar Mediterraneo (appartenente a Israele)
- Le tattiche usate dagli tossicodipendenti per ingannare e le strategie per contrastare la droga
- Manuale per il lavoratore remoto per operare virtualmente in Canada utilizzando una scheda eSIM
