I ricercatori hanno scoperto una nuova versione del malware Atomic Stealer per macOS (noto anche come AMOS). Il malware ora è dotato di una backdoor che consente l’accesso ai sistemi hackerati. Gli esperti di MacPaw hanno studiato la backdoor Atomic dopo aver ricevuto informazioni dal ricercatore indipendente di sicurezza informatica g0njxa. Scrivono che il nuovo componente consente di eseguire comandi arbitrari, “sopravvive” dopo il riavvio e consente di mantenere il controllo sugli host infetti per un tempo illimitato.
“Le campagne di distribuzione di AMOS hanno già raggiunto più di 120 paesi, con i più colpiti tra Stati Uniti, Francia, Italia, Regno Unito e Canada”, hanno affermato i ricercatori. “La versione con backdoor di Atomic consente l’accesso completo a migliaia di dispositivi Mac in tutto il mondo”. Atomic è stato documentato per la prima volta nell’aprile 2023. Si tratta di una minaccia MaaS (Malware-as-a-Service) distribuita nei canali Telegram. L’abbonamento costa 1.000 dollari al mese. Lo scopo di questo malware è rubare file macOS, dati di estensioni di criptovalute e password utente memorizzate nei browser.
Nel novembre 2023, lo stealer è stato utilizzato come parte della campagna malware ClearFake e nel settembre 2024 è stato utilizzato dal gruppo di hacker Marko Polo in una campagna su larga scala rivolta ai computer Apple. Gli analisti di Moonlock riferiscono che gli operatori di Atomic hanno recentemente cambiato strategia. Il malware ora viene distribuito non tramite falsi siti di software pirata, ma tramite phishing mirato rivolto ai possessori di criptovalute, nonché tramite falsi inviti a colloqui.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La nuova versione del malware è dotata di una backdoor integrata, utilizza LaunchDaemons per “sopravvivere” dopo un riavvio del macOS, traccia le vittime tramite ID univoci ed è controllata da una nuova infrastruttura. Secondo i ricercatori, il file eseguibile principale del backdoor è un binario .helper, che viene scaricato e salvato dopo l’infezione nella directory home della vittima come file nascosto.
Lo script wrapper nascosto .agent esegue .helper in un ciclo per conto dell’utente corrente. Per far sì che .agent venga eseguito all’avvio del sistema, viene aggiunto tramite AppleScript il file LaunchDaemon denominato com.finder.helper. Tutto ciò avviene con privilegi elevati: il malware ruba la password dell’utente nella fase di infezione. Successivamente, può eseguire comandi e modificare il proprietario del file PLIST di LaunchDaemon in root:wheel.
La backdoor integrata consente agli aggressori di eseguire comandi da remoto, intercettare sequenze di tasti, iniettare payload aggiuntivi o esplorare capacità di movimento laterale. Per evitare di essere rilevato, il backdoor verifica la presenza di una sandbox o di una macchina virtuale utilizzando system_profiler e ricorre anche all’offuscamento delle stringhe.
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Cyberpolitica
Hacking
Innovazione
Cultura
Cybercrime