A graphic showing a DNA strands and a microcope
Búsqueda de Ciberamenazas

Atomic macOS Stealer lidera el robo de datos sensibles en macOS

Sophos X-Ops investiga la distribución y las capacidades de Atomic macOS Stealer (AMOS)

Históricamente existía la tendencia a creer que macOS era menos susceptible al malware que Windows, posiblemente porque el sistema operativo tiene menos cuota de mercado que Windows y un conjunto nativo de funciones de seguridad que obligan a los desarrolladores de malware a adoptar enfoques diferentes. La convicción era que, si era vulnerable a algo, era a ataques extraños y no convencionales y a programas maliciosos. Pero, con el tiempo, eso ha cambiado. El malware convencional está empezando a afectar a macOS con regularidad (aunque no en la misma medida que a Windows), y los ladrones de información son un buen ejemplo de ello. En nuestra telemetría, los robos representan más del 50% de todas las detecciones de macOS en los últimos seis meses y Atomic macOS Stealer (AMOS) es una de las familias más comunes que vemos.

AMOS,del que Cyble informó por primera vez en abril de 2023, está diseñado para robar datos confidenciales (incluidas cookies, contraseñas, datos de autorrelleno y el contenido de carteras de criptomonedas) de máquinas infectadas y enviarlos al responsable del ataque. En ese momento, puede utilizar la información robada por sí mismo o, lo que es más probable, venderla a otros actores de la amenaza en mercados delictivos.

El mercado de estos datos robados (conocidos como «logs» entre los ciberdelincuentes) es grande y muy activo, y el precio de AMOS se ha triplicado en el último año, lo que habla tanto del deseo de atacar a los usuarios de macOS como del valor que tiene hacerlo para los delincuentes.

Aunque AMOS no es la única opción (entre sus rivales se encuentran MetaStealer,KeySteal y CherryPie), es uno de los más destacados, por lo que hemos elaborado una breve guía sobre qué es AMOS y cómo funciona, para ayudar a los defensores a controlar este malware cada vez más frecuente.

Distribución

AMOS se anuncia y vende en canales públicos de Telegram. En mayo de 2023, estaba disponible por 1000 $ al mes (también había disponible una licencia «de por vida», cuyo precio no se ha revelado), pero podemos informar de que, a partir de mayo de 2024, el coste parece haber aumentado a 3000 $ al mes. Como se muestra en la siguiente captura de pantalla, el anuncio de AMOS incluye una lista considerable de navegadores objetivo (con capacidad para robar cookies, contraseñas e información de autorrelleno); carteras de criptomonedas e información sensible del sistema (incluido el llavero de Apple y la contraseña de macOS)… Como se muestra en la siguiente captura de pantalla, el anuncio de AMOS incluye una lista considerable de navegadores objetivo (con capacidad para robar cookies, contraseñas e información de autorrelleno), carteras de criptomonedas e información confidencial del sistema (incluido el llavero de Apple y la contraseña de macOS).

Captura de pantalla de un canal de Telegram en el que se enumeran diversas funciones de AMOS, algunas en ruso y otras en inglés.
Figura 1: publicidad de AMOS en un canal de Telegram. Fíjate en el precio de 3.000 $ en la parte inferior de la captura de pantalla

Vectores de infección iniciales

Por lo que hemos observado en nuestra telemetría y por lo que han descubierto otros investigadores, muchos actores de amenazas están infectando objetivos con AMOS a través de malvertising (una técnica mediante la cual los actores de amenazas abusan de marcos publicitarios en línea válidos para dirigir a los usuarios hacia sitios maliciosos que contienen malware) o «envenenamiento SEO» (aprovechando los algoritmos de clasificación de los motores de búsqueda para colocar sitios maliciosos en los primeros puestos de los resultados de los motores de búsqueda). Cuando los usuarios desprevenidos buscan el nombre de un determinado software o utilidad, el sitio del actor de la amenaza aparece de forma destacada en los resultados y ofrece una descarga, que normalmente imita a la aplicación legítima, pero instala en secreto malware en la máquina del usuario.

Algunas de las aplicaciones legítimas que hemos visto que AMOS imita de esta manera son: Notion, una aplicación de productividad; Trello, una herramienta de gestión de proyectos; el navegador Arc; Slack y Todoist, una aplicación de listas de tareas.

Captura de pantalla de un dominio malicioso que imita el sitio web legítimo de Slack
Figura 2: un dominio malicioso que imita el dominio legítimo de Slack, con el fin de engañar a los usuarios para que descarguen un infostealer

Sin embargo, el malvertising de AMOS también se extiende a las redes sociales. Por ejemplo, observamos una campaña de malvertising en X.com, que conducía a un instalador falso de «Clean My Mac X» (una aplicación legítima de macOS) alojado en un dominio de imitación de macpaw[.]us, que imitaba engañosamente el sitio web real de este producto.

Captura de pantalla de un post en X, que dirige a los usuarios a un dominio malicioso que imita un dominio auténtico. En el post hay una vista previa del sitio, que muestra a un hombre apuntando a un ordenador
Figura 3: una campaña de publicidad maliciosa en X.com
Captura de pantalla de un dominio que aloja malware. El sitio se parece a la tienda oficial de iTunes.
Figura 4: un dominio que aloja AMOS (obtenido de urlscan). Fíjate en que los autores del malvertising han creado una página muy parecida a la de iTunes Store. Sophos y otros proveedores han clasificado este dominio como malicioso

Tras investigar un incidente de un cliente relacionado con AMOS, también observamos que los actores de amenazas han alojado binarios de AMOS en GitHub, posiblemente como parte de una campaña similar a la del malvertising.

Captura de pantalla de la página del propietario de un proyecto de GitHub
Figura 5: AMOS alojado en un repositorio de GitHub (ahora retirado)

También descubrimos varios directorios abiertos que alojaban malware AMOS. Algunos de estos dominios también distribuían malware para Windows (el infostealer Rhadamanthys).

Captura de pantalla de un listado de directorios de un sitio web, que muestra varios archivos .dmg alojados en el dominio.
Figura 6: un dominio que aloja varias muestras maliciosas disfrazadas de aplicaciones legítimas

Comando y control

Los paneles AMOS C2 están protegidos con credenciales. Como se muestra en las capturas de pantalla siguientes, los paneles proporcionan una visualización sencilla de las campañas y los datos robados en beneficio de los actores de la amenaza.

Una captura de pantalla de un dominio que muestra una página de inicio de sesión para el panel backend AMOS
Figura 7: panel de acceso AMOS C2 activo (obtenido de urlscan)
Una plantilla de panel AMOS
Figura 8: plantilla del panel AMOS para acceder a los datos robados (obtenida de urlscan)
Captura de pantalla con ejemplos de registros de AMOS
Figura 9: registros de AMOS mostrando diferentes datos (esta imagen se ha tomado del material de marketing de AMOS; el propio actor de la amenaza ha redactado parte de la información)

Capacidades en evolución

Como hemos mencionado antes, se informó por primera vez de AMOS en abril de 2023. Desde entonces, el malware ha evolucionado para eludir la detección y complicar el análisis. Por ejemplo, ahora los nombres de las funciones y las cadenas del malware están ofuscados.

Capturas de pantalla lado a lado del código AMOS en un desensamblador
Figura 10: capturas de pantalla del código de AMOS, mostrando una versión anterior (izquierda) y una versión ofuscada (derecha). Observa que los nombres de las funciones son legibles en la versión de la izquierda, pero han sido ofuscados en la versión más reciente de la derecha

También hemos observado variantes recientes de AMOS que utilizan un dropper de Python (otros investigadores también han informado sobre esto) y los desarrolladores del malware han trasladado algunos datos clave (incluidas cadenas y funciones) a este dropper, en lugar de al binario principal de Mach-O, probablemente para evitar su detección.

Una captura de pantalla de código relacionado con AMOS de un dropper de Python
Figura 11: cadenas y funciones en el dropper de Python
Captura de pantalla de código relacionado con AMOS, de un dropper de Python
Figura 12: extracto de una muestra de Python, que invoca AppleScript para la función «filegrabber()». Esta función estaba incluida en el binario en variantes anteriores, pero aquí el actor de la amenaza ha reimplementado toda la función en Python

Posibles desarrollos futuros

Los distribuidores de AMOS publicaron recientemente un anuncio en el que afirmaban que una nueva versión del malware se dirigiría a los usuarios de iPhone. Sin embargo, hasta la fecha no hemos visto ninguna muestra en la naturaleza y no podemos confirmar que haya una versión de AMOS para iOS a la venta en el momento de escribir este artículo.

Captura de pantalla de una publicación en un canal de Telegram, en ruso
Figura 13: una publicación en el canal de Telegram de AMOS sobre el objetivo iOS. El texto en ruso dice (trans.) “Bueno, el iPhone está abierto. Esperamos que un nuevo producto para iOS llegue a las masas. Las pruebas han demostrado el éxito. El precio será adecuado».

Una posible fuerza impulsora de este anuncio es la Ley de Mercados Digitales (DMA) de la UE, en virtud de la cual Apple está obligada a poner a disposición de los usuarios de iPhone con sede en la UE mercados alternativos de aplicaciones a partir de iOS 17.4. También se permitirá a los desarrolladores distribuir aplicaciones directamente desde su sitio web, lo que potencialmente significa que los actores de amenazas que quieran distribuir una versión de AMOS para iOS podrían adoptar las mismas técnicas de publicidad maliciosa que utilizan actualmente para dirigirse a los usuarios de macOS.

Protección y prevención

Como hemos visto en nuestra telemetría del año pasado, los actores de amenazas se centran cada vez más en macOS, sobre todo en forma de infosecuestradores, y el aumento de los precios de AMOS sugiere que podrían estar teniendo cierto éxito. Teniendo esto en cuenta, como con cualquier dispositivo, los usuarios solo deben instalar software de fuentes legítimas con buena reputación y desconfiar mucho de cualquier ventana emergente que solicite contraseñas o privilegios elevados.

Todos los ladrones que hemos visto hasta la fecha se distribuyen fuera de la tienda oficial de Mac y no están verificados criptográficamente por Apple, de ahí el uso de la ingeniería social que hemos comentado antes. También solicitan información como contraseñas y acceso a datos no deseados, lo que debería hacer saltar las alarmas de los usuarios, sobre todo cuando es una aplicación de terceros la que pide esos permisos (aunque ten en cuenta que en macOS 15 (Sequoia), que se lanzará en otoño de 2024, será más difícil anular Gatekeeper «al abrir software que no esté firmado correctamente o notariado». En lugar de poder hacer Control-clic, los usuarios tendrán que hacer un cambio en la configuración del sistema para cada aplicación que quieran abrir.

Captura de pantalla de un programa malicioso para macOS que muestra un cuadro de diálogo emergente en el que se solicita la contraseña del sistema.
Figura 14: ejemplo de malware para macOS que pide una contraseña, lo que debería ser una gran señal de alarma para los usuarios. Observa también la petición de hacer clic con el botón derecho y abrir

Por defecto, los navegadores tienden a almacenar tanto los datos de autorrelleno cifrados como la clave de cifrado en una ubicación fija, por lo que los ladrones de información que se ejecutan en sistemas infectados pueden exfiltrar ambos del disco. Disponer de un cifrado basado en una contraseña maestra o en datos biométricos ayudaría a protegerse de este tipo de ataque.

Si has encontrado algún programa para macOS que te parezca sospechoso, notifícalo a Sophos.

Sophos protege contra estos ladrones con nombres de protección que empiezan por OSX/InfoStl-* y OSX/PWS-*. Los IOC relativos a estos ladrones están disponibles en nuestro repositorio GitHub.

Agradecimientos

Sophos X-Ops agradece a Colin Cowie, del equipo de Detección y Respuesta Gestionadas (MDR) de Sophos, su contribución a este artículo.

Dejar un comentario

Your email address will not be published. Required fields are marked *