Redazione RHC : 14 Luglio 2025 06:49
I ricercatori hanno scoperto una nuova versione del malware Atomic Stealer per macOS (noto anche come AMOS). Il malware ora è dotato di una backdoor che consente l’accesso ai sistemi hackerati. Gli esperti di MacPaw hanno studiato la backdoor Atomic dopo aver ricevuto informazioni dal ricercatore indipendente di sicurezza informatica g0njxa. Scrivono che il nuovo componente consente di eseguire comandi arbitrari, “sopravvive” dopo il riavvio e consente di mantenere il controllo sugli host infetti per un tempo illimitato.
“Le campagne di distribuzione di AMOS hanno già raggiunto più di 120 paesi, con i più colpiti tra Stati Uniti, Francia, Italia, Regno Unito e Canada”, hanno affermato i ricercatori. “La versione con backdoor di Atomic consente l’accesso completo a migliaia di dispositivi Mac in tutto il mondo”. Atomic è stato documentato per la prima volta nell’aprile 2023. Si tratta di una minaccia MaaS (Malware-as-a-Service) distribuita nei canali Telegram. L’abbonamento costa 1.000 dollari al mese. Lo scopo di questo malware è rubare file macOS, dati di estensioni di criptovalute e password utente memorizzate nei browser.
Nel novembre 2023, lo stealer è stato utilizzato come parte della campagna malware ClearFake e nel settembre 2024 è stato utilizzato dal gruppo di hacker Marko Polo in una campagna su larga scala rivolta ai computer Apple. Gli analisti di Moonlock riferiscono che gli operatori di Atomic hanno recentemente cambiato strategia. Il malware ora viene distribuito non tramite falsi siti di software pirata, ma tramite phishing mirato rivolto ai possessori di criptovalute, nonché tramite falsi inviti a colloqui.
La nuova versione del malware è dotata di una backdoor integrata, utilizza LaunchDaemons per “sopravvivere” dopo un riavvio del macOS, traccia le vittime tramite ID univoci ed è controllata da una nuova infrastruttura. Secondo i ricercatori, il file eseguibile principale del backdoor è un binario .helper, che viene scaricato e salvato dopo l’infezione nella directory home della vittima come file nascosto.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Lo script wrapper nascosto .agent esegue .helper in un ciclo per conto dell’utente corrente. Per far sì che .agent venga eseguito all’avvio del sistema, viene aggiunto tramite AppleScript il file LaunchDaemon denominato com.finder.helper. Tutto ciò avviene con privilegi elevati: il malware ruba la password dell’utente nella fase di infezione. Successivamente, può eseguire comandi e modificare il proprietario del file PLIST di LaunchDaemon in root:wheel.
La backdoor integrata consente agli aggressori di eseguire comandi da remoto, intercettare sequenze di tasti, iniettare payload aggiuntivi o esplorare capacità di movimento laterale. Per evitare di essere rilevato, il backdoor verifica la presenza di una sandbox o di una macchina virtuale utilizzando system_profiler e ricorre anche all’offuscamento delle stringhe.
RedazioneDi recente, i criminali informatici si sono nuovamente concentrati su vecchie vulnerabilità presenti nelle popolari telecamere Wi-Fi e nei DVR D-Link. La Cybersecurity and Infrastructure Security...
Per decenni abbiamo celebrato il digitale come la promessa di un futuro più connesso, efficiente e democratico. Ma oggi, guardandoci intorno, sorge una domanda subdola e inquietante: e se fossimo...
Per quanto riguarda i compiti banali che i robot umanoidi potrebbero presto svolgere per noi, le possibilità sono ampie. Fare il bucato è probabilmente in cima alla lista dei desideri di mol...
Domenica scorsa, Red Hot Cyber ha pubblicato un approfondimento sull’aumento delle attività malevole da parte del ransomware AKIRA, che sembrerebbe sfruttare una vulnerabilità 0-day n...
Cisco, uno dei principali attori globali nel settore delle infrastrutture di rete e della sicurezza informatica, ha recentemente comunicato di essere stata vittima di un incidente di sicurezza. Fondat...
