Atomic macOS Stealer è un noto malware per il sistema operativo di Apple. I ricercatori di Moonlock hannno individuato una nuova versione con include una backdoor, quindi i cybercriminali possono ottenere un accesso persistente ai Mac. Sono già in corso nuovi attacchi in tutto il mondo. Tra i paesi interessati c’è anche l’Italia.

Backdoor in Atomic macOS Stealer

Atomic macOS Stealer (AMOS) è un malware-as-a-service. Viene offerto in abbonamento tramite canali Telegram a 1.000 dollari/mese. Gli sviluppatori (cybercriminali russi) hanno aggiunto una backdoor alla versione più recente. Oltre al furto di file, credenziali e dati sensibili, il malware permette quindi di mantenere l’accesso al Mac anche dopo un riavvio ed eseguire comandi arbitrari. In pratica è possibile prendere il controllo del sistema operativo.

I cybercriminali hanno inoltre aggiunto la possibilità di installare un keylogger, sfruttando proprio la backdoor. Gli esperti di Moonlock hanno notato anche un metodo di distribuzione alternativo. Atomic macOS Stealer viene solitamente distribuito tramite software pirata. Ora i cybercriminali prendono di mira direttamente gli utenti con wallet di criptovalute tramite attacchi di phishing oppure convincono le vittime contattate su LinkedIn a scaricare software infetto tramite falsi colloqui di lavoro.

Per effettuare il falso colloquio di lavoro viene inviato un link per il download del software per videoconferenze. Tramite tecniche di ingegneria sociale viene chiesto alla vittima di aggirare la protezione Gakekeeper e inserire le credenziali di sistema per usare la condivisione dello schermo.

La backdoor attiva un collegamento persistente al server C2 (command and control) gestito dai cybercriminali. La nuova versione del malware viene già ampiamente sfruttata per colpire gli utenti in oltre 120 paesi, tra cui Italia, Francia, Canada, Regno Unito e Stati Uniti.