ADSENSE
|
Questo post é stato letto 100 volte!
Amos malware macos: la minaccia crescente per gli utenti apple
Il panorama della cybersicurezza è in continua evoluzione e, se in passato i sistemi Windows erano il bersaglio principale, oggi i dispositivi Apple sono diventati un obiettivo economicamente interessante per i gruppi cybercriminali.
Tra le minacce più aggressive che hanno colpito gli utenti Mac, spicca Amos malware macos, acronimo di Atomic macOS Stealer.
Questo infostealer è progettato specificamente per sottrarre credenziali, wallet crypto, cookie di sessione e dati sensibili, bypassando persino l’autenticazione multifattore (MFA).
Cos’è amos e come funziona l’attacco
Amos è apparso pubblicamente nel 2023 nei circuiti underground del cybercrime, distribuito tramite abbonamenti clandestini e personalizzabile dagli affiliati per condurre campagne di infezione mirate.
Il codice malevolo colpisce i browser più diffusi come Safari, Chrome, Brave, Edge, Opera e Firefox, estraendo password salvate, cookie di sessione, token di autenticazione e cronologia di navigazione.
Supporta inoltre il furto di wallet, cercando automaticamente file e database associati a software come Exodus, Electrum e Binance Wallet.
Per diffondersi, Amos sfrutta principalmente campagne di phishing e la distribuzione tramite software pirata.
Gli attaccanti creano siti clone che imitano strumenti legittimi (editor PDF, utility AI, piattaforme di trading).
Il malware viene confezionato in file DMG apparentemente autentici, inducendo l’utente a scaricare l’applicazione, avviare il package e autorizzare manualmente l’esecuzione, bypassando così le protezioni di Gatekeeper.
Campagne più sofisticate utilizzano firme sviluppatore rubate o certificati temporaneamente validi, combinando Amos con script AppleScript capaci di richiedere la password tramite finestre che imitano i prompt di sistema.
Una volta ottenute le credenziali amministrative, il malware tenta l’estrazione dei dati memorizzati nel Portachiavi.
Furto di sessioni browser e modello malware-as-a-service
Il furto delle password non è più l’unico obiettivo.
Gli infostealer moderni si concentrano sui cookie di sessione e sui token autenticati.
Amos raccoglie i database SQLite usati dai browser basati su Chromium: se il token rubato è ancora valido, gli attaccanti possono accedere agli account senza conoscere la password originale e senza dover superare l’autenticazione multifattore.
Questa tecnica è ampiamente sfruttata contro account Google Workspace, Microsoft 365, exchange crypto e piattaforme SaaS.
In diversi incidenti documentati, le sessioni rubate hanno permesso di prendere il controllo di caselle e ambienti cloud.
La diffusione del modello maas
Sul piano organizzativo, Amos segue il modello Malware-as-a-Service (MaaS).
Gli sviluppatori vendono l’accesso a pannelli amministrativi, builder e infrastrutture C2 ad altri criminali.
Gli affiliati ricevono strumenti per generare payload personalizzati, monitorare le infezioni e filtrare geograficamente i target.
Questo modello ha accelerato enormemente la diffusione dei malware macOS, riducendo le competenze tecniche necessarie per avviare campagne malevole.
Come proteggersi da amos e dagli infostealer macos
Le principali società di sicurezza raccomandano un approccio multilivello per difendersi da queste minacce. 1.
Aggiornare macOS: Apple rilascia continuamente aggiornamenti che correggono vulnerabilità attivamente sfruttate. 2.
Limitare l’installazione di software: Evitare l’installazione di applicazioni da fonti non verificate. 3.
Controllare i permessi: Verificare attentamente i permessi richiesti dalle applicazioni. 4.
Utilizzare account non amministrativi: Ridurre l’impatto di eventuali compromissioni utilizzando account con privilegi limitati. 5.
Soluzioni EDR: Implementare soluzioni Endpoint Detection and Response (EDR) compatibili con macOS per monitorare processi sospetti e accessi anomali. 6.
Separazione delle sessioni browser: Utilizzare profili browser diversi per attività sensibili. 7.
Password manager: Adottare password manager dedicati per una gestione sicura delle credenziali. 8.
Revoca periodica dei token autenticati: Revocare regolarmente i token di autenticazione per limitare la finestra di esposizione in caso di furto.
Adottando queste misure, gli utenti possono rafforzare significativamente la loro difesa contro Amos e altri infostealer che minacciano l’integrità dei sistemi macOS.
Questo post é stato letto 100 volte!