Redazione RHC : 14 Luglio 2025 06:49
I ricercatori hanno scoperto una nuova versione del malware Atomic Stealer per macOS (noto anche come AMOS). Il malware ora è dotato di una backdoor che consente l’accesso ai sistemi hackerati. Gli esperti di MacPaw hanno studiato la backdoor Atomic dopo aver ricevuto informazioni dal ricercatore indipendente di sicurezza informatica g0njxa. Scrivono che il nuovo componente consente di eseguire comandi arbitrari, “sopravvive” dopo il riavvio e consente di mantenere il controllo sugli host infetti per un tempo illimitato.
“Le campagne di distribuzione di AMOS hanno già raggiunto più di 120 paesi, con i più colpiti tra Stati Uniti, Francia, Italia, Regno Unito e Canada”, hanno affermato i ricercatori. “La versione con backdoor di Atomic consente l’accesso completo a migliaia di dispositivi Mac in tutto il mondo”. Atomic è stato documentato per la prima volta nell’aprile 2023. Si tratta di una minaccia MaaS (Malware-as-a-Service) distribuita nei canali Telegram. L’abbonamento costa 1.000 dollari al mese. Lo scopo di questo malware è rubare file macOS, dati di estensioni di criptovalute e password utente memorizzate nei browser.
Nel novembre 2023, lo stealer è stato utilizzato come parte della campagna malware ClearFake e nel settembre 2024 è stato utilizzato dal gruppo di hacker Marko Polo in una campagna su larga scala rivolta ai computer Apple. Gli analisti di Moonlock riferiscono che gli operatori di Atomic hanno recentemente cambiato strategia. Il malware ora viene distribuito non tramite falsi siti di software pirata, ma tramite phishing mirato rivolto ai possessori di criptovalute, nonché tramite falsi inviti a colloqui.
 Prova la Demo di Business Log! Adaptive SOC italiano Log management non solo per la grande Azienda, ma una suite di Audit file, controllo USB, asset, sicurezza e un Security Operation Center PERSONALE, che ti riporta tutte le operazioni necessarie al tuo PC per tutelare i tuoi dati e informati in caso di problemi nel tuo ambiente privato o di lavoro.
Scarica ora la Demo di Business Log per 30gg
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La nuova versione del malware è dotata di una backdoor integrata, utilizza LaunchDaemons per “sopravvivere” dopo un riavvio del macOS, traccia le vittime tramite ID univoci ed è controllata da una nuova infrastruttura. Secondo i ricercatori, il file eseguibile principale del backdoor è un binario .helper, che viene scaricato e salvato dopo l’infezione nella directory home della vittima come file nascosto.
Lo script wrapper nascosto .agent esegue .helper in un ciclo per conto dell’utente corrente. Per far sì che .agent venga eseguito all’avvio del sistema, viene aggiunto tramite AppleScript il file LaunchDaemon denominato com.finder.helper. Tutto ciò avviene con privilegi elevati: il malware ruba la password dell’utente nella fase di infezione. Successivamente, può eseguire comandi e modificare il proprietario del file PLIST di LaunchDaemon in root:wheel.
La backdoor integrata consente agli aggressori di eseguire comandi da remoto, intercettare sequenze di tasti, iniettare payload aggiuntivi o esplorare capacità di movimento laterale. Per evitare di essere rilevato, il backdoor verifica la presenza di una sandbox o di una macchina virtuale utilizzando system_profiler e ricorre anche all’offuscamento delle stringhe.
RedazioneLa sicurezza del Louvre è di nuovo sotto accusa dopo che alcuni burloni sono riusciti a ingannare le guardie e ad appendere il loro dipinto nella stessa stanza della Monna Lisa. Il duo belga Neel e S...
Il servizio di pagamento Checkout.com è stato vittima di un tentativo di estorsione: il gruppo ShinyHunters ha affermato di aver avuto accesso a dati aziendali e ha chiesto un riscatto. Un’indagine...
I XV Giochi Nazionali della Cina si sono aperti con uno spettacolo che ha unito sport e tecnologia. Tra i protagonisti, robot capaci di suonare antichi strumenti di bronzo, sistemi di intelligenza art...
Un worm auto-propagante, denominato IndonesianFoods, è stato scoperto in npm. Genera nuovi pacchetti ogni sette secondi. Secondo Sonatype, il malware ha già creato oltre 100.000 pacchetti e questo n...
Molti di noi sono cresciuti con Hiroshi Shiba, di Jeeg robot d’acciaio che parlava con il defunto padre, il Professor Senjiro Shiba, scienziato e archeologo all’interno di un grande elaboratore. I...
