AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**El infostealer AMOS apunta a usuarios de macOS a través de marketplaces de apps y extensiones de IA**

admin

### Introducción

El panorama de amenazas contra macOS ha experimentado una evolución significativa en los últimos meses, desmintiendo el mito de la invulnerabilidad de este sistema operativo. El infostealer AMOS (Atomic macOS Stealer) representa uno de los exponentes más sofisticados y activos de malware dirigido a usuarios de Apple, empleando técnicas avanzadas de ingeniería social y aprovechando el auge de las aplicaciones y extensiones de inteligencia artificial (IA) para propagar su carga maliciosa y obtener credenciales de acceso, datos bancarios y otra información sensible.

### Contexto del Incidente o Vulnerabilidad

AMOS apareció inicialmente en foros clandestinos a mediados de 2023 y, desde entonces, ha evolucionado tanto en sus capacidades técnicas como en sus métodos de distribución. A diferencia de anteriores campañas de malware para macOS, AMOS utiliza marketplaces de aplicaciones y extensiones de IA —tanto oficiales como no oficiales— para camuflarse y expandirse rápidamente entre un público cada vez más amplio, aprovechando la popularidad de herramientas basadas en ChatGPT y Midjourney, entre otras.

La compañía de inteligencia de amenazas Flare ha analizado recientemente una campaña en la que AMOS se distribuye mediante aplicaciones falsas de IA, habitualmente presentadas como utilidades gratuitas o extensiones para navegadores. Los atacantes emplean técnicas SEO maliciosas y publicidad en redes sociales para atraer a los usuarios, dirigiéndolos a sitios de descarga fraudulentos o clónicos de repositorios legítimos.

### Detalles Técnicos

AMOS se distribuye principalmente como archivos instaladores empaquetados en formato DMG o PKG. Una vez ejecutado, solicita permisos elevados mediante ventanas de diálogo falsas imitando el aspecto nativo de macOS. Entre las versiones documentadas, destacan las 1.3.7 y 1.4.0, siendo esta última la más activa según telemetría reciente.

El malware implementa las siguientes Tácticas, Técnicas y Procedimientos (TTP) según el marco MITRE ATT&CK:

– **T1059.004 (Command and Scripting Interpreter: AppleScript & Bash)**: Uso de scripts para automatizar la extracción de datos.
– **T1071.001 (Application Layer Protocol: Web Protocols)**: Exfiltración de información vía HTTPS hacia servidores C2.
– **T1555 (Credentials from Password Stores)**: Robo de credenciales almacenadas en el llavero de macOS (Keychain) y navegadores como Chrome, Firefox y Safari.
– **T1560 (Archive Collected Data)**: Compresión de datos robados antes de la exfiltración.

Entre los Indicadores de Compromiso (IoC) identificados se encuentran hashes de archivos DMG maliciosos, direcciones IP de C2 activas y nombres de procesos disfrazados como utilidades de IA populares.

El malware se integra con frameworks como Metasploit y Cobalt Strike para facilitar la persistencia y el movimiento lateral en entornos empresariales, aunque su foco principal sigue siendo el robo masivo de credenciales para su posterior venta en marketplaces de logs.

### Impacto y Riesgos

La campaña ha afectado a miles de usuarios, con especial incidencia en profesionales que buscan herramientas de IA para automatizar tareas o mejorar su productividad. Según Flare, más del 60% de los logs de AMOS contienen credenciales empresariales, incrementando el riesgo de ataques de acceso inicial (Initial Access) y movimientos laterales en redes corporativas.

El precio medio de un “stealer log” de macOS en foros underground oscila entre los 10 y los 50 dólares, dependiendo de la sensibilidad de la información. Además de credenciales, AMOS extrae datos bancarios, monederos de criptomonedas y claves SSH, lo que amplifica el impacto más allá de la simple pérdida de acceso a cuentas.

### Medidas de Mitigación y Recomendaciones

Para reducir el riesgo de infección y exfiltración de datos, se recomienda:

– Desplegar soluciones EDR específicas para macOS con capacidades de análisis heurístico y detección de comportamientos anómalos.
– Restringir la instalación de software únicamente a fuentes oficiales y verificados, deshabilitando la ejecución de apps de desarrolladores no identificados.
– Monitorizar logs de acceso y actividad en el llavero de macOS y navegadores.
– Aplicar segmentación de red y políticas de privilegios mínimos para limitar el impacto de una posible intrusión.
– Educar a los usuarios sobre los riesgos de descargar extensiones y apps de IA desde marketplaces no oficiales.

Las organizaciones sujetas a GDPR y NIS2 deben recordar que la exfiltración de datos personales y credenciales puede constituir una brecha de seguridad de notificación obligatoria.

### Opinión de Expertos

Investigadores de Flare y otras firmas señalan que la profesionalización del cibercrimen ha igualado la balanza entre macOS y Windows, rompiendo la falsa sensación de seguridad existente en entornos Apple. “El auge de las aplicaciones de IA supone una nueva superficie de ataque que los grupos criminales están sabiendo explotar con agilidad”, afirma un analista senior de Flare.

Desde el CERT de una gran entidad financiera española, advierten: “La sofisticación de AMOS y su integración con herramientas de pentesting habituales hace que su detección sea cada vez más compleja. Es fundamental actualizar los procesos de threat hunting para incluir estos nuevos vectores”.

### Implicaciones para Empresas y Usuarios

El incremento de ataques dirigidos a macOS obliga a los responsables de ciberseguridad a revisar sus políticas de seguridad y ampliar la cobertura de sus herramientas de defensa. La tendencia creciente hacia la adopción de IA en entornos corporativos requiere nuevas estrategias de validación y control de software, así como campañas de concienciación para evitar la descarga de aplicaciones fraudulentas.

Paralelamente, la existencia de una economía paralela basada en la venta de logs robados incrementa el riesgo de ataques dirigidos y fraudes más sofisticados.

### Conclusiones

AMOS representa la consolidación de una amenaza real y persistente para los usuarios de macOS, especialmente en el contexto actual de proliferación de apps y extensiones de IA. La combinación de técnicas de ingeniería social, explotación de marketplaces y capacidades avanzadas de exfiltración exige una respuesta coordinada entre departamentos de seguridad, equipos de TI y usuarios finales.

(Fuente: www.bleepingcomputer.com)