(https://www.bleepstatic.com/content/hl-images/2023/09/11/apple_triangle.jpg)
Un analista de malware descubrió una nueva versión del ladrón de información Atomic para macOS (también conocido como «AMOS») que incluye una puerta trasera que permite a los atacantes acceder de forma persistente a los sistemas comprometidos.
El nuevo componente permite ejecutar comandos remotos arbitrarios, sobrevive a los reinicios y permite mantener el control sobre los hosts infectados indefinidamente.
La división de ciberseguridad de MacPaw, Moonlock, analizó la puerta trasera del malware Atomic tras recibir información del investigador independiente g0njxa, un observador atento de la actividad del ladrón de información.
«Las campañas de malware de AMOS ya han llegado a más de 120 países, entre los que se encuentran Estados Unidos, Francia, Italia, Reino Unido y Canadá, entre los más afectados», afirman los investigadores.
«La versión con puerta trasera del ladrón Atomic para macOS ahora tiene el potencial de obtener acceso completo a miles de dispositivos Mac en todo el mundo».
Evolución de Atomic
El stealer Atomic, documentado por primera vez en abril de 2023, es una operación de malware como servicio (MaaS) promocionada en canales de Telegram por una cuantiosa suscripción de 1000 dólares al mes. Su objetivo son archivos de macOS, extensiones de criptomonedas y contraseñas de usuarios almacenadas en navegadores web.
En noviembre de 2023, apoyó la primera expansión de las campañas "ClearFake" en macOS, mientras que en septiembre de 2024, fue detectado en una campaña a gran escala por el grupo de cibercrimen Marko Polo, que lo implementó en ordenadores Apple.
Moonlock informa que Atomic ha pasado recientemente de canales de distribución amplios, como sitios web de software pirateado, a phishing dirigido a propietarios de criptomonedas, así como a invitaciones a entrevistas de trabajo para autónomos.
La versión analizada del malware incluye una puerta trasera integrada, utiliza LaunchDaemons para sobrevivir a los reinicios en macOS, seguimiento de víctimas basado en la identificación y una nueva infraestructura de comando y control.
Evolución
(https://www.bleepstatic.com/images/news/u/1220909/2025/July/evolution.jpg)
Una puerta trasera en tu Mac
El ejecutable principal de la puerta trasera es un binario llamado ".helper", que se descarga y guarda en el directorio personal de la víctima como un archivo oculto tras la infección, según los investigadores.
Un script persistente llamado ".agent" (también oculto) ejecuta ".helper" en bucle como el usuario conectado, mientras que un LaunchDaemon (com.finder.helper) instalado mediante AppleScript garantiza que ".agent" se ejecute al iniciar el sistema.
Esta acción se realiza con privilegios elevados utilizando la contraseña del usuario robada durante la fase inicial de la infección con un pretexto falso. El malware puede entonces ejecutar comandos y cambiar la propiedad del LaunchDaemon PLIST a "root:wheel" (superusuario en macOS).
Cadena de ejecución
(https://www.bleepstatic.com/images/news/u/1220909/2025/July/backdoor,exec.jpg)
La puerta trasera permite a los actores de amenazas ejecutar comandos de forma remota, registrar pulsaciones de teclas, introducir cargas útiles adicionales o explorar el potencial de movimiento lateral.
Para evadir la detección, la puerta trasera busca entornos sandbox o de máquinas virtuales mediante 'system_profiler' y también ofrece ofuscación de cadenas.
La evolución del malware demuestra que los usuarios de macOS se están convirtiendo en objetivos más atractivos y que las campañas maliciosas dirigidas a ellos son cada vez más sofisticadas.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/atomic-macos-infostealer-adds-backdoor-for-persistent-attacks/