AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

Nueva variante de Atomic Stealer (AMOS) para macOS incorpora puerta trasera para acceso persistente

admin

Introducción

En el panorama actual de amenazas dirigido a sistemas macOS, destaca la reciente detección de una variante avanzada del infostealer Atomic Stealer, también conocido como AMOS. Esta nueva versión, identificada por analistas de malware, no solo mantiene su capacidad tradicional de robo de credenciales y datos sensibles, sino que introduce una puerta trasera (backdoor) que permite a los atacantes mantener acceso persistente a los sistemas comprometidos. El hallazgo subraya la evolución de las tácticas de grupos de amenazas y plantea serios desafíos para la defensa de entornos Apple, tradicionalmente percibidos como menos vulnerables frente a malware especializado.

Contexto del Incidente o Vulnerabilidad

Atomic Stealer (AMOS) es un infostealer distribuido principalmente a través de campañas de ingeniería social y falsos instaladores de software para macOS. Desde su aparición en 2023, ha ido evolucionando en funcionalidades y sofisticación. La última versión, descubierta a principios de junio de 2024 por investigadores de seguridad, marca un salto cualitativo: junto al robo de información, los operadores del malware han introducido un módulo backdoor que facilita la persistencia y el control remoto del sistema infectado. Esta estrategia responde a la tendencia creciente de los grupos de cibercrimen de maximizar el valor de cada compromiso, combinando robo de datos con capacidades de acceso continuado para posibles ataques posteriores.

Detalles Técnicos

La nueva variante de AMOS afecta principalmente a sistemas macOS Monterey (12.x) y versiones posteriores, incluyendo Ventura (13.x). El malware se distribuye habitualmente mediante instaladores falsos de aplicaciones populares o correos electrónicos de phishing con documentos maliciosos.

El análisis técnico revela que el ejecutable del malware, una vez lanzado, solicita permisos de accesibilidad y control total del disco, aprovechando técnicas de evasión para saltarse Gatekeeper y notarización de Apple. Una vez obtenidos los privilegios, AMOS extrae credenciales del llavero de macOS, cookies de navegadores (Safari, Chrome, Firefox), monederos de criptomonedas (Exodus, Atomic, Electrum) e información sensible de aplicaciones de productividad.

La novedad reside en la inclusión de un módulo backdoor personalizado, que emplea HTTP/HTTPS para comunicarse con el servidor de comando y control (C2). El backdoor permite:

– Ejecución remota de comandos shell.
– Exfiltración selectiva de archivos.
– Descarga e instalación de payloads adicionales.
– Persistencia mediante la creación de LaunchAgents (~/Library/LaunchAgents/com.apple.[random].plist).

Los indicadores de compromiso (IoC) identificados incluyen hashes SHA256 únicos, rutas de persistencia, conexiones a dominios C2 como “update-macos[.]com” y cadenas identificativas en procesos sospechosos.

En términos de TTPs (Tactics, Techniques and Procedures), el ataque se alinea con las siguientes técnicas MITRE ATT&CK:

– TA0001 (Initial Access): Spearphishing Attachment, Malicious Download.
– TA0003 (Persistence): Launch Agent, Accessibility Features.
– TA0005 (Defense Evasion): Masquerading, Code Signing Bypass.
– TA0011 (Command and Control): Application Layer Protocol: Web Protocols.

Actualmente, existen módulos en frameworks como Metasploit que permiten analizar y replicar parte del comportamiento del malware, aunque este backdoor en particular utiliza cifrado personalizado para dificultar la detección por EDRs y antivirus tradicionales.

Impacto y Riesgos

La introducción del backdoor en AMOS multiplica los riesgos operacionales. No solo se compromete la confidencialidad de datos corporativos y personales, sino que el acceso persistente facilita el despliegue de ransomware, movimiento lateral o la explotación de credenciales en otros sistemas. Según estadísticas de Kaspersky y SentinelOne, el 35% del malware dirigido a macOS en 2024 incorpora funciones de persistencia, lo que evidencia una tendencia clara de sofisticación.

Para empresas sujetas a GDPR o NIS2, un incidente de este tipo puede suponer sanciones significativas si se produce una brecha de datos personales o de servicios esenciales. Además, el coste medio de remediación de un ataque con persistencia en entornos Apple se estima en 250.000 euros, incluyendo análisis forense, restauración de sistemas y potenciales multas regulatorias.

Medidas de Mitigación y Recomendaciones

Los expertos recomiendan adoptar un enfoque proactivo:

– Monitorización continua de procesos y conexiones salientes en endpoints macOS.
– Implementar soluciones EDR con capacidades específicas para macOS.
– Reforzar la concienciación de usuarios sobre los riesgos de descargar software fuera de la App Store oficial.
– Restricción de permisos de instalación y uso de cuentas con privilegios mínimos.
– Revisión periódica de LaunchAgents y LaunchDaemons sospechosos.
– Aplicación de parches de seguridad y actualización de sistemas a las versiones más recientes.
– Uso de autenticación multifactor (MFA) y monitorización del acceso al llavero de macOS.

Opinión de Expertos

Especialistas en ciberseguridad como Patrick Wardle y Thomas Reed coinciden en que la irrupción de backdoors en infostealers marca una “nueva era” en las amenazas para macOS. “El mito de la invulnerabilidad de Apple está definitivamente superado. Los atacantes están adaptando rápidamente sus técnicas y aprovechando la falta de cultura de seguridad en muchos entornos macOS corporativos”, señala Reed. Wardle añade que la detección de persistencia debe ser prioritaria en cualquier estrategia defensiva para Apple.

Implicaciones para Empresas y Usuarios

Para las organizaciones, especialmente aquellas con flotas mixtas de Windows y macOS, este incidente subraya la necesidad de equiparar las capacidades de defensa en ambos entornos. Las soluciones tradicionales de endpoint diseñadas para PC pueden no ser suficientes en macOS si no se adaptan a sus particularidades. Para los usuarios finales, la descarga de software de fuentes no verificadas sigue siendo el principal vector de riesgo.

Conclusiones

La evolución del infostealer Atomic Stealer hacia una amenaza persistente obliga a redoblar los esfuerzos de vigilancia y respuesta en entornos macOS. La sofisticación del malware y su orientación tanto a usuarios individuales como a corporativos exige una actualización continua de estrategias defensivas y una mayor concienciación sobre los riesgos específicos en el ecosistema Apple.

(Fuente: www.bleepingcomputer.com)