El crecimiento de los entornos Mac abre el apetito de los ciberdelincuentes. Un estudio realizado por Cyble Research and Intelligence Labs (CRIL) destaca el malware AMOS para Atomic macOS Stealer. Como sugiere su nombre, es un ladrón de datos que incluye contraseñas o archivos de escritorio, así como elementos de la carpeta Documentos. También se dirige a navegadores que buscan inicios de sesión, números de tarjetas de crédito, cookies, así como billeteras de criptomonedas de Atomic, Binance, Coinomi, Electrum, Exodus y otros.

AMOS fue visto en el servicio de mensajería segura Telegram. Es muy activo y la persona o grupo detrás de este ladrón de información mejora constantemente el malware para hacerlo más efectivo. Está disponible para la venta por $1,000 por mes. Este precio incluye el acceso al software, así como una interfaz web para gestionar víctimas, una herramienta de fuerza bruta para robar claves privadas. Los clientes también tienen acceso a un verificador de cifrado y un instalador de archivos .dmg.

Archivo de imagen de disco sin firmar seleccionado

Este último es el vector de propagación del malware. El archivo de imagen de disco sin firmar (.dmg) suele activarse al descargar aplicaciones de terceros. Cuando el usuario lo abre, se le solicita que ingrese la contraseña de su Mac, lo que activa el malware. El archivo .dmg puede tener nombres de archivo que parecen legítimos: se han informado casos de imágenes de disco falsas tituladas Notion-7.0.6.dmg, Photoshop CC 2023.dmg y Tor Browser.dmg en VirusTotal, un sitio web que analiza archivos sospechosos y los enumera en una base de datos.

El análisis de CRIL se produce después de un estudio publicado recientemente por MalwareHunterTeam que descubrió que el grupo Lockbit estaba trabajando en una evolución del ransomware para macOS, particularmente en terminales equipados con chips M1. Manzana ha implementado protecciones en macOS y la empresa lanza parches de seguridad a través de actualizaciones del sistema operativo, por lo que es importante instalarlos lo antes posible. Y como siempre, siempre es mejor descargar software de fuentes confiables, como la App Store (que verifica la seguridad de su software) o directamente del desarrollador.