Malware de Mac: "Atomic macOS Stealer" roba contraseñas, datos del navegador y billeteras criptográficas

Una pieza relativamente nueva de malware llamada Ladrón atómico de macOSbrevemente AMOS, actualmente está dando vueltas. Los objetivos son las computadoras Apple y las contraseñas, las criptomonedas, los datos del navegador, los archivos y más almacenados en ellas. Además, el malware debería poder usarse para inyectar más software y causar aún más daño. Lo bueno es que AMOS no puede funcionar de forma completamente independiente. Se requieren permisos para acceder al sistema, cuyas ventanas de consulta no parecen reales. Entonces, si está atento y sigue el conocido diseño de los mensajes de macOS, está seguro. Pero hay otras medidas de protección.

Atomic macOS Stealer, o AMOS para abreviar, es el nombre de una nueva y agresiva pieza de malware que se dirige a una amplia variedad de datos de Apple Mac. Aquí puede obtener información sobre el malware y consejos para protegerse contra él.
Atomic macOS Stealer, o AMOS para abreviar, es el nombre de una nueva y agresiva pieza de malware que se dirige a una amplia variedad de datos de Apple Mac. Aquí puede obtener información sobre el malware y consejos para protegerse contra él.

AMOS se distribuye como malware de alquiler a través de Telegram

Según los estudios actuales, Atomic macOS Stealer, cuyas funciones individuales se detallan a continuación, se utiliza principalmente a través de la aplicación Messenger. Telegram ofrecido a la venta. Allí, los delincuentes pueden asegurar el uso de AMOS por 1.000 dólares estadounidenses al mes. Las personas que ofrecen el malware realizan el robo de datos a través de sus propios servidores de comando y control, de modo que se les puede pagar para eliminar los datos obtenidos. Al mismo tiempo, AMOS evoluciona constantemente para ofrecer más y más funciones diseñadas para robar cuentas, identidades y dinero en línea. También se puede usar una función de "File Grabber" para copiar archivos y carpetas de la Mac atacada.

El malware Atomic macOS Stealer apunta a Apple Mac

System

  • Llavero: exporta todas las contraseñas del llavero de Apple
  • Información del sistema: Ficha técnica completa del sistema utilizado (modelo Mac y versión del sistema operativo)
  • File Grabber: extracción de archivos y carpetas de los directorios de usuario "Escritorio" y "Documentos"
  • Contraseña: lectura de la contraseña de la cuenta utilizada

Navegador

  • Chrome: datos de formularios (llamado autocompletar), contraseñas, cookies, billeteras, tarjetas de débito o crédito 
  • Firefox: autocompletar, cookies
  • Valiente: autocompletar, contraseñas, cookies, billeteras, tarjetas de débito o crédito
  • Edge: Autocompletar, contraseñas, cookies, billeteras, tarjetas de débito o crédito
  • Vivaldi: Autocompletar, contraseñas, cookies, wallets, EC o tarjetas de crédito
  • Yandex: autocompletar, cookies, billeteras, tarjetas de débito o crédito
  • Opera: Autocompletar, contraseñas, cookies, monederos, tarjetas de débito o crédito
  • Opera GX: Autocompletar, contraseñas, cookies, monederos, tarjetas de débito o crédito

Carteras criptográficas y complementos

  • Electrum
  • Binance
  • Exodus (Éxodo)
  • Atómico
  • Coinomi
  • Más de 60 complementos como MetaMask, Phantom y otros

Funciones para usar el malware

  • espacio utilizable web
  • Ataques de MetaMask con semilla y clave personalizadas
  • Comprobador de cifrado
  • Archivo de instalación dmg simple
  • Seguimiento y notificaciones vía Telegram
De una forma u otra, el malware AMOS se ofrece a través de Telegram. Fuente: blog.cyble.com
De una forma u otra, el malware AMOS se ofrece a través de Telegram. Fuente: blog.cyble.com

Infección de malware: ¿Cómo se instala AMOS en Mac?

Para obtener AMOS en la Mac de la víctima, los delincuentes tienen una amplia variedad de formas disponibles a través de Internet. Así que el archivo de instalación podría tener un caballo de Troya introducido de contrabando o implementado de otro modo a través de la descarga en un sitio web. La consulta del motor de búsqueda de un programa específico, un enlace en un correo electrónico o una ruta similar puede conducir a esto. Por lo tanto, en este punto, el consejo nuevamente: ¡no haga clic en ningún enlace que se le envíe desde fuentes desconocidas! Y si es necesario, utiliza otro canal de comunicación para preguntar a las personas que supuestamente te enviaron un enlace si realmente lo enviaron ellos. Los nombres conocidos ciertamente pueden aparecer en correos falsos.

¿Es el malware AMOS una amenaza aguda para mí y mi Mac?

Aquí me gustaría dar un (pequeño) sí y un (gran) no. Porque no creo que los particulares sean el objetivo de una dirigido ataque con AMOS. A un precio actual de $ 1.000 por mes, creo que Atomic macOS Stealer apuntará principalmente a los delincuentes que atacan los sistemas de empresas, organizaciones, agencias gubernamentales y otras instituciones. Además, los grupos políticos o socialmente activos podrían convertirse en objetivos. Sin embargo, no se puede descartar un ataque a computadoras Mac privadas, aunque solo sea porque los datos de pago y las billeteras criptográficas son un objetivo de AMOS. Aquí, creo que el malware podría distribuirse a través de sitios web de descarga falsos y correos electrónicos masivos.

¿Cómo puede protegerse contra AMOS y otro malware en la Mac?

Es muy importante que preste atención a cómo se ven las indicaciones y otras ventanas interactivas después de descargar y ejecutar un archivo dmg o de archivo. Porque actualmente AMOS muestra una ventana simple con un ícono de engranaje que solicita la contraseña de MacOS [¡sic!]. macOS se escribe en minúsculas. Además, se muestra un campo de entrada simple, falta la visualización del nombre de la cuenta utilizada actualmente. Una consulta de contraseña de macOS real se ve diferente (ver más abajo). Sin embargo, dado que el malware evoluciona constantemente, el diseño podría cambiar pronto. Así que presta especial atención.

La consulta de instalación y autorización de Atomic macOS Stealer actualmente se parece a esto. La consulta de contraseña falsa en particular debería hacer saltar todas las alarmas. Fuente: blog.cyble.com
La consulta de instalación y autorización de Atomic macOS Stealer actualmente se parece a esto. La consulta de contraseña falsa en particular debería hacer saltar todas las alarmas. Fuente: blog.cyble.com
Para mostrarle desafíos de contraseñas reales, utilicé una descarga de contenido en GarageBand y una descarga de Mac App Store. A la izquierda, puede ver la solicitud de contraseña para la cuenta utilizada actualmente en macOS en Apple Mac. A la derecha puede ver la consulta de Touch ID para la instalación de la aplicación. Sistema utilizado: macOS Ventura.
Para mostrarle desafíos de contraseñas reales, utilicé una descarga de contenido en GarageBand y una descarga de Mac App Store. A la izquierda, puede ver la solicitud de contraseña para la cuenta utilizada actualmente en macOS en Apple Mac. A la derecha puede ver la consulta de Touch ID para la instalación de la aplicación. Sistema utilizado: viene macOS.

También están estos consejos y recomendaciones para la protección contra el malware en la Mac:

  • No abra ningún enlace que le haya enviado por correo electrónico desconocido Se presentan las direcciones del remitente
  • No abre enlaces que desconocido enviarle de otra manera (Messenger, iMessage, Lanzamiento desde el aire, Etc.)
  • Fíjese bien en las ventanas de solicitud de derechos de acceso y contraseñas
  • También pregúntese si la aplicación descargada realmente debería necesitar el acceso solicitado
  • ¿Existe el que buscas? Aplicación también en la Mac App Store oficial, luego descárgala allí
  • Use contraseñas seguras (más de 2 caracteres con números, letras mayúsculas y minúsculas, caracteres especiales, etc.) y habilite la autenticación de dos factores (XNUMXFA) siempre que sea posible
  • Es mejor usarlo donde sea posible. Claves de paso, Touch ID y/o Face ID como contraseñas tradicionales
  • Instala siempre la última versión del sistema operativo (macOS, iOS, iPadOS, watchOS, etc.) para cerrar brechas de seguridad conocidas

Fuente y más información sobre el tema.

Servido como fuente para esta publicación. esta publicación en el blog Cyble Research & Intelligence Labs. Para desbloquearlo por completo, debe registrarse con una dirección de correo electrónico para obtener más información. Como esto no tiene que ser confirmado, puede usar una dirección imaginaria o descartable. Además de la información presentada aquí, encontrará una mirada aún más técnica a AMOS y extractos del código del malware en la publicación del blog. El artículo está escrito en inglés.

Mis consejos y trucos sobre tecnología y Apple

¿Te gustó el artículo y te ayudaron las instrucciones del blog? Entonces sería feliz si usted el blog a través de una membresía constante apoyaría.

Escribe un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados con * markiert

En el Blog de Sir Apfelot encontrarás consejos, instrucciones y reseñas sobre productos de Apple como el iPhone, iPad, Apple Watch, AirPods, iMac, Mac Pro, Mac Mini y Mac Studio.

Especiales
Compras
  •  
  •