Io uso macOS perchè è sicuro! A voi Atomic Stealer: 1000 euro al mese con funzionalità di backdoor

I ricercatori hanno scoperto una nuova versione del malware Atomic Stealer per macOS (noto anche come AMOS). Il malware ora è dotato di una backdoor che consente l’accesso ai sistemi hackerati. Gli esperti di MacPaw hanno studiato la backdoor Atomic dopo aver ricevuto informazioni dal ricercatore indipendente di sicurezza informatica g0njxa. Scrivono che il nuovo componente consente di eseguire comandi arbitrari, “sopravvive” dopo il riavvio e consente di mantenere il controllo sugli host infetti per un tempo illimitato.

“Le campagne di distribuzione di AMOS hanno già raggiunto più di 120 paesi, con i più colpiti tra Stati Uniti, Francia, Italia, Regno Unito e Canada”, hanno affermato i ricercatori. “La versione con backdoor di Atomic consente l’accesso completo a migliaia di dispositivi Mac in tutto il mondo”. Atomic è stato documentato per la prima volta nell’aprile 2023. Si tratta di una minaccia MaaS (Malware-as-a-Service) distribuita nei canali Telegram. L’abbonamento costa 1.000 dollari al mese. Lo scopo di questo malware è rubare file macOS, dati di estensioni di criptovalute e password utente memorizzate nei browser.

Nel novembre 2023, lo stealer è stato utilizzato come parte della campagna malware ClearFake e nel settembre 2024 è stato utilizzato dal gruppo di hacker Marko Polo in una campagna su larga scala rivolta ai computer Apple. Gli analisti di Moonlock riferiscono che gli operatori di Atomic hanno recentemente cambiato strategia. Il malware ora viene distribuito non tramite falsi siti di software pirata, ma tramite phishing mirato rivolto ai possessori di criptovalute, nonché tramite falsi inviti a colloqui.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

La nuova versione del malware è dotata di una backdoor integrata, utilizza LaunchDaemons per “sopravvivere” dopo un riavvio del macOS, traccia le vittime tramite ID univoci ed è controllata da una nuova infrastruttura. Secondo i ricercatori, il file eseguibile principale del backdoor è un binario .helper, che viene scaricato e salvato dopo l’infezione nella directory home della vittima come file nascosto.

Lo script wrapper nascosto .agent esegue .helper in un ciclo per conto dell’utente corrente. Per far sì che .agent venga eseguito all’avvio del sistema, viene aggiunto tramite AppleScript il file LaunchDaemon denominato com.finder.helper. Tutto ciò avviene con privilegi elevati: il malware ruba la password dell’utente nella fase di infezione. Successivamente, può eseguire comandi e modificare il proprietario del file PLIST di LaunchDaemon in root:wheel.

La backdoor integrata consente agli aggressori di eseguire comandi da remoto, intercettare sequenze di tasti, iniettare payload aggiuntivi o esplorare capacità di movimento laterale. Per evitare di essere rilevato, il backdoor verifica la presenza di una sandbox o di una macchina virtuale utilizzando system_profiler e ricorre anche all’offuscamento delle stringhe.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.