AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Campaña de AMOS Infostealer Utiliza Anuncios de Google para Distribuir Malware en macOS**

admin

### Introducción

En las últimas semanas, se ha detectado una sofisticada campaña de distribución de malware dirigida a usuarios de macOS, en la que actores maliciosos emplean anuncios patrocinados en Google Search para propagar el infostealer AMOS (Atomic macOS Stealer). Esta campaña destaca por aprovechar la popularidad de las IA conversacionales como ChatGPT y Grok, simulando conversaciones «útiles» que, en realidad, conducen a la descarga e instalación del malware en los sistemas de las víctimas. El incidente pone de manifiesto la evolución de las técnicas de ingeniería social y la creciente amenaza que supone el malware multiplataforma dirigido a entornos Apple.

### Contexto del Incidente

El infostealer AMOS, identificado inicialmente en 2023, ha experimentado una rápida evolución tanto en sus capacidades como en los métodos de distribución empleados por los cibercriminales. Tradicionalmente, el ecosistema macOS se ha considerado más seguro frente a amenazas de malware en comparación con Windows; sin embargo, el aumento del valor de los activos gestionados desde dispositivos Apple y la falsa percepción de invulnerabilidad han incrementado el interés de los atacantes.

La campaña identificada en junio de 2024 utiliza anuncios patrocinados (Google Ads) que aparecen en las primeras posiciones de los resultados de búsqueda para términos relacionados con ChatGPT, Grok y otros servicios de inteligencia artificial. Al interactuar con estos anuncios, los usuarios son redirigidos a páginas que simulan conversaciones con los mencionados chatbots, ofreciendo instrucciones y enlaces de descarga que, en realidad, instalan el infostealer AMOS.

### Detalles Técnicos

#### Identificación y CVEs

Actualmente, el malware AMOS no está asociado a un CVE específico, ya que se distribuye mediante técnicas de ingeniería social y abuso de canales legítimos (Google Ads), no por explotación de vulnerabilidades técnicas del sistema operativo o de aplicaciones.

#### Vectores de Ataque y TTP (MITRE ATT&CK)

– **Vector de Entrada**: Redireccionamiento a través de Google Ads (T1190: Drive-by Compromise).
– **Técnica de Ingeniería Social**: Simulación de interfaces de ChatGPT/Grok (T1204.002: User Execution – Malicious Link).
– **Descarga y Ejecución**: Instalación de binarios maliciosos disfrazados de aplicaciones legítimas (T1059: Command and Scripting Interpreter).
– **Exfiltración de Información**: Robo de credenciales, carteras de criptomonedas, cookies y datos bancarios (T1005: Data from Local System; T1567: Exfiltration Over Web Service).

#### Indicadores de Compromiso (IoC)

– Dominios y URLs: Varias decenas de dominios fraudulentos que imitan portales de IA.
– Hashes binarios: SHA256 asociados al ejecutable de AMOS para macOS.
– Comportamiento en red: Conexiones salientes cifradas a C2, uso de protocolos HTTP(S) y Telegram API para exfiltración.

#### Herramientas y Frameworks

Aunque AMOS se distribuye principalmente como binario independiente para macOS (.dmg, .pkg), se han observado campañas que integran su distribución en cadenas automatizadas mediante frameworks como Metasploit y la utilización de scripts de automatización para evadir Gatekeeper y XProtect.

### Impacto y Riesgos

La campaña afecta principalmente a usuarios de macOS, incluidos perfiles corporativos y particulares. Los riesgos derivados de la infección por AMOS incluyen:

– Robo de credenciales de acceso a servicios corporativos y personales (correo, plataformas cloud, cuentas bancarias).
– Extracción de carteras de criptomonedas y datos financieros críticos.
– Secuestro de sesiones web mediante cookies robadas.
– Potencial movimiento lateral en entornos empresariales mixtos (macOS/Windows).
– Riesgo de incumplimiento normativo (GDPR, NIS2) ante filtraciones de información sensible.

Según datos recientes de laboratorios de ciberseguridad, se estima que hasta un 15% de los usuarios que acceden a los anuncios maliciosos completan el proceso de descarga, con un coste medio de incidente superior a 20.000 euros en el caso de organizaciones afectadas.

### Medidas de Mitigación y Recomendaciones

– **Filtrado de Anuncios**: Configurar políticas de navegación segura y bloquear anuncios patrocinados en navegadores corporativos.
– **Educación y Concienciación**: Realizar campañas internas de formación sobre ingeniería social y riesgos asociados a descargas externas.
– **Monitorización de IoC**: Integrar los IoC identificados en soluciones SIEM/SOC para detección temprana.
– **Restricciones de Instalación**: Limitar la instalación de aplicaciones a través de App Store y deshabilitar la ejecución de binarios no firmados.
– **Actualizaciones**: Mantener el sistema operativo y el software de seguridad actualizados.
– **Revisión de Logs**: Analizar logs de eventos en macOS para identificar ejecuciones sospechosas y conexiones anómalas.

### Opinión de Expertos

Analistas de amenazas y responsables de seguridad coinciden en que la utilización de anuncios patrocinados como vector de distribución representa una amenaza cada vez más difícil de mitigar. Según Pablo González, investigador de ciberseguridad, «el abuso de la confianza depositada en plataformas de búsqueda y la sofisticación de las campañas de phishing dirigidas a usuarios avanzados de macOS demuestran que la frontera entre lo legítimo y lo malicioso es cada vez más difusa».

### Implicaciones para Empresas y Usuarios

El éxito de estas campañas pone en entredicho la seguridad basada únicamente en la reputación de los ecosistemas Apple y evidencia la necesidad de adoptar estrategias de Zero Trust y defensa en profundidad. Para las empresas, el impacto puede traducirse en brechas de datos, sanciones por incumplimiento normativo y daño reputacional. Los usuarios individuales, especialmente aquellos que gestionan activos valiosos como criptomonedas o acceden a información corporativa desde dispositivos personales, deben extremar las precauciones.

### Conclusiones

La campaña de AMOS infostealer dirigida a usuarios de macOS mediante anuncios de Google representa una evolución significativa en las técnicas de distribución de malware. La ingeniería social, combinada con la explotación de plataformas legítimas y la simulación de servicios de IA populares, obliga a replantear la estrategia de defensa tanto a nivel corporativo como particular. La integración de inteligencia de amenazas y la concienciación continua se consolidan como elementos clave para mitigar estos riesgos emergentes en el entorno digital actual.

(Fuente: www.bleepingcomputer.com)