Infostealer AMOS zielt auf macOS-Geräte

Sophos News

Beitrag teilen

macOS-Geräte geraten immer mehr ins Visier von Cyberkriminellen – zuletzt fiel die Infostealer-Familie AMOS auf, sie ist für mehr als 50 Prozent aller Attacken auf das Apple-Betriebssystem zuständig. Gerüchte deuten zudem darauf hin, dass die Kriminellen ihr Zielgebiet auch auf iOS erweitern wollen.

Seit Langem hält sich der Glaube, dass das macOS-Betriebssystem weniger anfällig für Schadsoftware ist als Windows. Das mag an der geringeren Marktdominanz liegen und verschiedenen eigenen Sicherheitsfeatures, die von den Malware-Entwicklern andere Ansätze verlangen. Man ging davon aus, dass hier nur unkonventionelle Attacken und Schadsoftware eine Chance hätten. Diese Annahme ist nun endlich passé.

Anzeige

Mainstream-Schadsoftware greift mittlerweile regelmäßig macOS-Systeme an – wenn auch nicht in dem Ausmaß wie Windows-Geräte. Infostealer sind hierfür ein Paradebeispiel: In den Sophos Telemetrieauswertungen sind sie für über 50 Prozent aller macOS-Auffälligkeiten in den letzten sechs Monaten verantwortlich, und: Atomic macOS Stealer (AMOS) ist eine der häufigsten Familien.

Cookies, Passwörter, Autofll-Dateien – AMOS schnappt sich alles

AMOS – zuerst von dem Sicherheitsunternehmen Cyble im April 2023 veröffentlicht – ist entwickelt worden, um sensible Daten von infizierten Maschinen zu stehlen: Cookies, Passwörter, Autofill-Daten und Inhalte Wallets mit Kryptowährungen. Die „Beute“ nutzt der Angreifer entweder für sich selbst, oder – das ist der wahrscheinlichere Fall – sie wird an einen anderen Akteur auf dem kriminellen Markt weiterverkauft.

Auf öffentlichen Kanälen des Telegram-Messengers wird AMOS angepriesen und verkauft. Im Mai 2023 noch für gut 900 Euro im Monat zu haben, muss man im Mai 2024 schon 2.715 Euro auf den Tisch legen. AMOS ist zwar nicht der einzige Akteur, MetaStealer, KeySteal und CherryPie konkurrieren, aber der prominenteste. Daher hat Sophos den ausführlichen Steckbrief Atomic macOS Stealer leads sensitive data theft on macOS zur Wirkung und Vorgehensweise von AMOS erstellt, um besser zur Abwehr gewappnet zu sein.

AMOS-Infektion via Malvertising oder SEO poisoning

In den Telemetriedaten von Sophos und anderen Analysten zeigt sich, dass viele Bedrohungsakteure ihre Opfer via Malvertising oder „SEO poisoning“ (Ausnutzen von Algorithmen für die Suchmaschinenplatzierung, um bösartige Websites an die Spitze der Suchergebnisse zu bringen) mit AMOS infizieren. Suchen unbedarfte Nutzer nach dem Namen einer bestimmten Software oder Funktionalität, erscheint die schadhafte Seite in den Suchergebnissen und bietet einen Download an. Die falsche Anwendung imitiert typischerweise die legitime App und installiert Malware auf dem Gerät. Zu den legitimen Anwendungen, die AMOS imitiert, gehören unter anderem Notion, Slack und Todoist (Produktivitäts), Trello (Projektmanagement) oder Arc (Internet-Browser).

Hat AMOS zukünftig auch iPhones im Visier?

AMOS-Händler haben kürzlich eine Anzeige geschaltet, in der sie behaupteten, dass eine neue Version der Malware iPhone-Nutzer ins Visier nehmen würde. Bisher haben die Sophos-Experten allerdings noch keine Exemplare in freier Wildbahn gesehen und können zum jetzigen Zeitpunkt nicht bestätigen, dass eine iOS-Version von AMOS im Umlauf ist.

Eine mögliche treibende Kraft hinter dieser Ankündigung ist der Digital Markets Act (DMA) der EU, nach dem Apple verpflichtet ist, ab iOS 17.4 in der EU ansässigen iPhone-Nutzern alternative App-Marktplätze zur Verfügung zu stellen. Entwicklern wird es auch gestattet sein, Apps direkt von ihrer Website aus zu verbreiten – was möglicherweise bedeutet, dass Bedrohungsakteure, die eine iOS-Version von AMOS verbreiten möchten, dieselben Malvertising-Techniken anwenden könnten, die sie derzeit verwenden, um macOS-Benutzer anzusprechen.

Mehr bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


 

Passende Artikel zum Thema

Studie: Digitale Mitarbeitererfahrung verbessert die Cybersicherheit

Neun von zehn Führungskräften sind überzeugt, dass ihr Unternehmen gewinnt, wenn sie digitale Mitarbeitererfahung priorisieren, so die Ergebnisse einer Umfrage. ➡ Weiterlesen

Patchday bei SAP

SAP hat mehrere Patches veröffentlicht, die insgesamt acht Schwachstellen betreffen. Eine davon ist als schwerwiegend eingestuft. Am schwersten wiegt eine ➡ Weiterlesen

Disaster-Recovery-Ereignisse bei Microsoft 365

Ein globales Softwareunternehmen, das IT-Dienstleister bei der Bereitstellung von Fernüberwachung und -verwaltung, Datenschutz als Service und Sicherheitslösungen unterstützt, hat den ➡ Weiterlesen

Quishing: Phishing mit QR-Codes

In Anlehnung an Albert Einstein ließe sich wohl sagen, dass der kriminelle Einfallsreichtum der Menschen unendlich ist. Der neueste Trend ➡ Weiterlesen

KI-Sicherheitsmemorandum in den USA

Die KI-Sicherheit steht an einem Wendepunkt. Das erste National Security Memorandum (NSM) für künstliche Intelligenz markiert einen wichtigen Meilenstein – ➡ Weiterlesen

Deutschland gibt über 10 Milliarden Euro für Cybersicherheit aus

Angesichts der zunehmenden Bedrohung durch Cyberangriffe investiert Deutschland verstärkt in IT-Sicherheit. Im laufenden Jahr steigen die entsprechenden Ausgaben um 13,8 ➡ Weiterlesen

KRITIS-Dachgesetz beschlossen

Das Bundeskabinett hat das KRITIS-Dachgesetz beschlossen. Mit ihm soll der Schutz kritischer Infrastrukturen etwa in den Bereichen Energie, Verkehr oder ➡ Weiterlesen

Cyberkriminelle stehlen Cookies

Die FBI-Abteilung Atlanta warnt die Öffentlichkeit, dass Cyberkriminelle sich Zugang zu E-Mail-Konten verschaffen, indem sie Cookies vom Computer des Opfers ➡ Weiterlesen