){kind=link}
Um malware chamado Amos Stealer está sendo usado por cibercriminosos para roubar dados de computadores Mac. A empresa de segurança CyberProof identificou uma campanha ativa em que o programa malicioso é distribuído por meio de downloads falsos, sites fraudulentos e técnicas de engenharia social. O objetivo é financeiro: comprometer ambientes corporativos e extrair credenciais de acesso.
O que chama atenção nessa campanha é a forma como o malware opera. Em vez de instalar programas suspeitos, ele abusa de ferramentas legítimas que já existem no macOS para agir sem levantar suspeitas.
smart_display
Nossos vídeos em destaque
O ataque começa com um comando discreto
A infecção se inicia quando o sistema executa um comando usando o “curl”, um utilitário nativo do Mac usado para transferir arquivos pela internet. O comando baixa um script malicioso de um servidor controlado pelos atacantes.
Para passar despercebido, o comando usa flags específicas que suprimem alertas de erro, ocultam o progresso do download e garantem que tudo aconteça em silêncio. Basicamente, o usuário não vê nada na tela enquanto o arquivo malicioso é baixado.
Após o download, o script aciona automaticamente o AppleScript, uma linguagem de automação nativa do Mac, para iniciar a coleta de dados.
O que o malware rouba
O Amos Stealer varre o sistema em busca de informações de alto valor. Nos navegadores Google Chrome e Microsoft Edge, ele coleta senhas salvas, cookies de sessão e dados de preenchimento automático de formulários.
)
Além disso, o malware copia o arquivo de banco de dados do Keychain, que é o gerenciador de senhas integrado ao macOS, chamado “login[.]keychain-db”. Isso permite que os atacantes acessem credenciais corporativas e tokens de autenticação armazenados no sistema.
O malware também vasculha os diretórios do usuário em busca de arquivos sensíveis de desenvolvimento, como .ssh, .kube, .zshrc e .gitconfig. Esses arquivos costumam conter chaves de acesso a servidores, repositórios e ambientes de nuvem.
Como os dados são enviados aos criminosos
Para preparar o envio, o malware usa outra ferramenta nativa do Mac chamada “ditto” para compactar todos os arquivos roubados em um único arquivo chamado “osalogging.zip”, armazenado na pasta temporária /tmp.
)
Esse arquivo é então dividido em partes de 10 MB. Para cada envio, o script gera um identificador de sessão único combinando o horário atual com uma sequência aleatória de caracteres. Isso dificulta a rastreabilidade da operação.
Os dados são transmitidos ao servidor dos atacantes via HTTP. Se o envio falhar, o sistema tenta novamente até oito vezes antes de desistir.
O malware apaga os próprios rastros
Após o envio bem-sucedido, o Amos Stealer executa comandos para deletar o arquivo compactado e a pasta temporária criada durante o processo. Isso é feito para eliminar evidências da infecção no computador da vítima.
Esse comportamento de autolimpeza torna a detecção mais difícil, especialmente em empresas que não monitoram ativamente os endpoints.
)
Como se proteger
A CyberProof recomenda que empresas reforcem as políticas do Gatekeeper, o sistema de verificação de aplicativos do macOS, para impedir a execução de programas de fontes não verificadas. Também é indicado manter o XProtect, o antimalware nativo da Apple, sempre atualizado e aplicar as atualizações de segurança do sistema assim que forem lançadas.
Monitorar comandos curl incomuns nos endpoints é apontado como uma medida prática para identificar tentativas de infecção antes que o malware complete sua execução. Restringir privilégios administrativos nos dispositivos corporativos também reduz o impacto de uma eventual comprometimento.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.