Redazione RHC : 14 Luglio 2025 06:49
I ricercatori hanno scoperto una nuova versione del malware Atomic Stealer per macOS (noto anche come AMOS). Il malware ora è dotato di una backdoor che consente l’accesso ai sistemi hackerati. Gli esperti di MacPaw hanno studiato la backdoor Atomic dopo aver ricevuto informazioni dal ricercatore indipendente di sicurezza informatica g0njxa. Scrivono che il nuovo componente consente di eseguire comandi arbitrari, “sopravvive” dopo il riavvio e consente di mantenere il controllo sugli host infetti per un tempo illimitato.
“Le campagne di distribuzione di AMOS hanno già raggiunto più di 120 paesi, con i più colpiti tra Stati Uniti, Francia, Italia, Regno Unito e Canada”, hanno affermato i ricercatori. “La versione con backdoor di Atomic consente l’accesso completo a migliaia di dispositivi Mac in tutto il mondo”. Atomic è stato documentato per la prima volta nell’aprile 2023. Si tratta di una minaccia MaaS (Malware-as-a-Service) distribuita nei canali Telegram. L’abbonamento costa 1.000 dollari al mese. Lo scopo di questo malware è rubare file macOS, dati di estensioni di criptovalute e password utente memorizzate nei browser.
Nel novembre 2023, lo stealer è stato utilizzato come parte della campagna malware ClearFake e nel settembre 2024 è stato utilizzato dal gruppo di hacker Marko Polo in una campagna su larga scala rivolta ai computer Apple. Gli analisti di Moonlock riferiscono che gli operatori di Atomic hanno recentemente cambiato strategia. Il malware ora viene distribuito non tramite falsi siti di software pirata, ma tramite phishing mirato rivolto ai possessori di criptovalute, nonché tramite falsi inviti a colloqui.
Distribuisci i nostri corsi di formazione diventando un nostro Affiliato
Se sei un influencer, gestisci una community, un blog, un profilo social o semplicemente hai tanta voglia di diffondere cultura digitale e cybersecurity, questo è il momento perfetto per collaborare con RHC Academy. Unisciti al nostro Affiliate Program: potrai promuovere i nostri corsi online e guadagnare provvigioni ad ogni corso venduto. Fai parte del cambiamento. Diffondi conoscenza, costruisci fiducia, genera valore.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
La nuova versione del malware è dotata di una backdoor integrata, utilizza LaunchDaemons per “sopravvivere” dopo un riavvio del macOS, traccia le vittime tramite ID univoci ed è controllata da una nuova infrastruttura. Secondo i ricercatori, il file eseguibile principale del backdoor è un binario .helper, che viene scaricato e salvato dopo l’infezione nella directory home della vittima come file nascosto.
Lo script wrapper nascosto .agent esegue .helper in un ciclo per conto dell’utente corrente. Per far sì che .agent venga eseguito all’avvio del sistema, viene aggiunto tramite AppleScript il file LaunchDaemon denominato com.finder.helper. Tutto ciò avviene con privilegi elevati: il malware ruba la password dell’utente nella fase di infezione. Successivamente, può eseguire comandi e modificare il proprietario del file PLIST di LaunchDaemon in root:wheel.
La backdoor integrata consente agli aggressori di eseguire comandi da remoto, intercettare sequenze di tasti, iniettare payload aggiuntivi o esplorare capacità di movimento laterale. Per evitare di essere rilevato, il backdoor verifica la presenza di una sandbox o di una macchina virtuale utilizzando system_profiler e ricorre anche all’offuscamento delle stringhe.
RedazioneNegli ultimi 3 anni, l’intelligenza artificiale generativa, in particolare i modelli linguistici di grandi dimensioni (LLM), hanno rivoluzionato il modo in cui interagiamo con le macchine, perm...
“Ora che il genio è uscito dalla lampada, è impossibile rimetterlo dentro!”. Quante volte abbiamo scritto queste parole riguarda l’intelligenza artificiale? Ora che il g...
I ricercatori di Huntress hanno rilevato lo sfruttamento attivo di una vulnerabilità critica in Wing FTP Server, appena un giorno dopo la sua divulgazione pubblica. La vulnerabilità CVE-2025...
Secondo Trellix, il gruppo DoNot APT ha recentemente condotto una campagna di spionaggio informatico in più fasi, prendendo di mira il Ministero degli Affari Esteri italiano. Il gruppo, attribuit...
È stata scoperta una vulnerabilità critica di tipo double free nel modulo pipapo set del sottosistema NFT del kernel Linux. Un aggressore senza privilegi può sfruttare questa vulne...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
