Atomic Stealer, il malware per Mac diventa più pericoloso: scopri come ti può infettare

Il panorama delle minacce informatiche su macOS si è ulteriormente aggravato con la scoperta di una nuova versione del malware Atomic macOS Stealer (conosciuto anche come AMOS), ora dotato di una backdoor che consente agli attaccanti di mantenere un accesso persistente ai sistemi compromessi. Questa evoluzione, analizzata dalla divisione Moonlock di MacPaw dopo una segnalazione dell’esperto indipendente g0njxa, rappresenta un salto di qualità nelle capacità offensive del malware, permettendo l’esecuzione di comandi remoti arbitrari e la sopravvivenza ai riavvii del sistema, garantendo così il controllo continuo e potenzialmente illimitato sulle macchine infette.

Secondo i ricercatori, le campagne di AMOS hanno già raggiunto oltre 120 paesi, con una particolare incidenza negli Stati Uniti, Francia, Italia, Regno Unito e Canada. L’introduzione della backdoor amplia notevolmente il potenziale dannoso del malware, che ora può ottenere il pieno controllo di migliaia di dispositivi Mac in tutto il mondo, rappresentando una grave minaccia per la sicurezza degli utenti Apple.

Introdotto per la prima volta nell’aprile 2023, Atomic Stealer si è rapidamente affermato come malware-as-a-service (MaaS), promosso su canali Telegram a un costo mensile di 1.000 dollari. Inizialmente mirato al furto di file, estensioni di criptovalute e password memorizzate nei browser, AMOS ha progressivamente ampliato il proprio raggio d’azione. Nel novembre 2023, è stato protagonista della prima espansione delle campagne ClearFake su macOS, mentre nel settembre 2024 è stato utilizzato in una vasta offensiva dal gruppo cybercriminale “Marko Polo”, che lo ha distribuito su numerosi computer Apple.

Recentemente, secondo Moonlock, la strategia di distribuzione di Atomic è cambiata: dalle classiche piattaforme di software piratato si è passati a phishing mirato verso possessori di criptovalute e a inviti a colloqui di lavoro per freelancer, aumentando così la precisione e l’efficacia degli attacchi.

Come dicevamo, l’ultima versione analizzata di AMOS integra una backdoor che utilizza LaunchDaemons per garantirsi la persistenza anche dopo i riavvii di macOS, un sistema di tracciamento delle vittime basato su ID e una nuova infrastruttura di comando e controllo (C2). Il cuore della backdoor è un eseguibile denominato .helper, scaricato e salvato come file nascosto nella home dell’utente dopo l’infezione. Un secondo script, .agent (anch’esso nascosto), esegue .helper in loop come utente loggato, mentre un LaunchDaemon (com.finder.helper) installato tramite AppleScript assicura che .agent venga avviato all’avvio del sistema.

Questa operazione viene effettuata con privilegi elevati, sfruttando la password dell’utente carpita durante la fase iniziale dell’infezione tramite un falso pretesto. Il malware è così in grado di eseguire comandi, modificare la proprietà del file PLIST del LaunchDaemon a root:wheel (il livello di superutente su macOS) e garantire la propria sopravvivenza anche in presenza di riavvii o tentativi di pulizia.

- Eseguire comandi remoti
- Registrare le sequenze di tasti (keylogging)
- Scaricare ulteriori payload malevoli
- Esplorare la possibilità di movimenti laterali nella rete

Per sfuggire ai controlli di sicurezza, la backdoor effettua verifiche per rilevare ambienti sandbox o macchine virtuali tramite system_profiler e utilizza tecniche di offuscamento delle stringhe per rendere più difficile l’analisi da parte degli strumenti di sicurezza.

L’evoluzione di Atomic macOS Stealer testimonia come gli utenti Mac siano ormai bersagli di campagne sempre più sofisticate, che sfruttano tecniche avanzate di persistenza e occultamento, mettendo seriamente a rischio la sicurezza dei dati personali e aziendali.

Più a lungo il ladro AMOS rimane inosservato, maggiori sono i danni che può arrecare agli utenti Mac. Per usare un eufemismo, è come fosse un ladro che riesce a restare nascosto nella nostra abitazione, colpendo ogni volta che risulti possibile. Come sempre, per proteggersi da questo genere di minacce, è anzitutto necessario adottare un approccio preventivo, riducendo la propria impronta digitale, conoscendo in che modo questi malware si diffondono, poiché i malintenzionati analizzano attentamente le loro vittime prima di contattarle tramite campagne di phishing mirato.