AMOS (Atomic macOS Stealer) es un malware avanzado diseñado específicamente para atacar sistemas macOS, representando una amenaza significativa en un entorno tradicionalmente considerado seguro. Este trabajo explora sus características técnicas, su evolución y su impacto en el panorama de la ciberseguridad para macOS, con el objetivo de ofrecer un análisis exhaustivo de sus capacidades y su modelo de distribución. Origen y Evolución AMOS apareció por primera vez a principios de 2023 y se ha posicionado rápidamente como uno de los infostealers más prevalentes para macOS. Ha evolucionado de forma constante, recibiendo actualizaciones regulares y adaptándose a las nuevas defensas de los sistemas Apple. Su capacidad para mantenerse relevante en el panorama de amenazas refleja un alto grado de profesionalización por parte de sus desarrolladores, quienes han sabido adaptarse a las necesidades de la ciberdelincuencia moderna. Funcionalidad La capacidad de AMOS para robar una amplia gama de datos sensibles lo convierte en una herramienta poderosa para los ciberdelincuentes. Entre los datos que exfiltra se incluyen: Contraseñas almacenadas en el llavero de macOS. Documentos y archivos del usuario. Información detallada del sistema. Cookies y datos de navegadores, lo que facilita el acceso a cuentas en línea. Información financiera, como detalles de tarjetas de crédito y credenciales de billeteras de criptomonedas. Estas capacidades lo hacen particularmente peligroso, ya que los atacantes pueden utilizar la información robada para cometer fraudes, realizar transferencias no autorizadas y obtener acceso persistente a los sistemas comprometidos. Distribución y Modelo de Negocio AMOS se distribuye principalmente como "malware-as-a-service" a través de canales de Telegram, donde su creador proporciona soporte, documentación y actualizaciones a los compradores. Desde su aparición, el precio de suscripción ha aumentado de $1,000 a $3,000 mensuales, lo que indica una creciente demanda y efectividad en el mercado. Las estrategias de distribución de AMOS incluyen campañas de malvertising, sitios web falsos que imitan servicios populares y descargas engañosas. Este modelo de negocio subraya la profesionalización del ecosistema de malware, donde la oferta de soporte y actualizaciones simula la dinámica de productos de software legítimos. Características Técnicas Lenguaje y variantes: AMOS fue escrito originalmente en Go, aunque existen versiones en C++ que ofrecen diferentes niveles de evasión y adaptabilidad. Algunas de las versiones más recientes también incorporan un dropper escrito en Python, que facilita la instalación inicial del malware en sistemas objetivo. Ofuscación y evasión: Emplea técnicas de ofuscación avanzadas para evitar la detección por parte de soluciones de seguridad. Además, utiliza comandos como osascript para ocultar su actividad, desplegando ventanas de autenticación falsas que engañan al usuario para obtener credenciales. Actualizaciones frecuentes: AMOS ha evolucionado continuamente, integrando nuevas técnicas y funcionalidades que le permiten adaptarse a los cambios en las medidas de seguridad de macOS, lo que ha contribuido a mantener su efectividad en el tiempo. Impacto AMOS representa un cambio significativo en el panorama de amenazas para macOS. Históricamente, el sistema operativo de Apple ha sido percibido como más seguro que otras plataformas, pero la aparición y expansión de AMOS han desafiado esta percepción. En 2024, se ha convertido en el tercer malware más detectado en macOS, representando aproximadamente el 9% de las detecciones, lo cual evidencia su propagación. El éxito de AMOS también ha inspirado la aparición de variantes y competidores como Banshee, Poseidon y RodrigoStealer, reflejando una evolución rápida y continua del ecosistema de malware para macOS. Objetivos del estudio Este trabajo busca proporcionar a la comunidad de ciberseguridad una visión completa de AMOS Stealer, abordando: Las técnicas de captura de datos, persistencia y evasión empleadas por el malware. El modelo de negocio detrás de AMOS, incluyendo su comercialización a través de Telegram y la economía que lo respalda. El impacto de AMOS en el ecosistema de macOS, destacando la necesidad de nuevas estrategias de protección. Estrategias de mitigación y recomendaciones prácticas para prevenir la infección por AMOS y otros infostealers en sistemas macOS. La evolución de AMOS y su papel como precursor de nuevas amenazas dirigidas a macOS.
Speakers: