Infostealer AMOS zielt auf macOS-Geräte

Sophos News

Beitrag teilen

macOS-Geräte geraten immer mehr ins Visier von Cyberkriminellen – zuletzt fiel die Infostealer-Familie AMOS auf, sie ist für mehr als 50 Prozent aller Attacken auf das Apple-Betriebssystem zuständig. Gerüchte deuten zudem darauf hin, dass die Kriminellen ihr Zielgebiet auch auf iOS erweitern wollen.

Seit Langem hält sich der Glaube, dass das macOS-Betriebssystem weniger anfällig für Schadsoftware ist als Windows. Das mag an der geringeren Marktdominanz liegen und verschiedenen eigenen Sicherheitsfeatures, die von den Malware-Entwicklern andere Ansätze verlangen. Man ging davon aus, dass hier nur unkonventionelle Attacken und Schadsoftware eine Chance hätten. Diese Annahme ist nun endlich passé.

Anzeige

Mainstream-Schadsoftware greift mittlerweile regelmäßig macOS-Systeme an – wenn auch nicht in dem Ausmaß wie Windows-Geräte. Infostealer sind hierfür ein Paradebeispiel: In den Sophos Telemetrieauswertungen sind sie für über 50 Prozent aller macOS-Auffälligkeiten in den letzten sechs Monaten verantwortlich, und: Atomic macOS Stealer (AMOS) ist eine der häufigsten Familien.

Cookies, Passwörter, Autofll-Dateien – AMOS schnappt sich alles

AMOS – zuerst von dem Sicherheitsunternehmen Cyble im April 2023 veröffentlicht – ist entwickelt worden, um sensible Daten von infizierten Maschinen zu stehlen: Cookies, Passwörter, Autofill-Daten und Inhalte Wallets mit Kryptowährungen. Die „Beute“ nutzt der Angreifer entweder für sich selbst, oder – das ist der wahrscheinlichere Fall – sie wird an einen anderen Akteur auf dem kriminellen Markt weiterverkauft.

Auf öffentlichen Kanälen des Telegram-Messengers wird AMOS angepriesen und verkauft. Im Mai 2023 noch für gut 900 Euro im Monat zu haben, muss man im Mai 2024 schon 2.715 Euro auf den Tisch legen. AMOS ist zwar nicht der einzige Akteur, MetaStealer, KeySteal und CherryPie konkurrieren, aber der prominenteste. Daher hat Sophos den ausführlichen Steckbrief Atomic macOS Stealer leads sensitive data theft on macOS zur Wirkung und Vorgehensweise von AMOS erstellt, um besser zur Abwehr gewappnet zu sein.

AMOS-Infektion via Malvertising oder SEO poisoning

In den Telemetriedaten von Sophos und anderen Analysten zeigt sich, dass viele Bedrohungsakteure ihre Opfer via Malvertising oder „SEO poisoning“ (Ausnutzen von Algorithmen für die Suchmaschinenplatzierung, um bösartige Websites an die Spitze der Suchergebnisse zu bringen) mit AMOS infizieren. Suchen unbedarfte Nutzer nach dem Namen einer bestimmten Software oder Funktionalität, erscheint die schadhafte Seite in den Suchergebnissen und bietet einen Download an. Die falsche Anwendung imitiert typischerweise die legitime App und installiert Malware auf dem Gerät. Zu den legitimen Anwendungen, die AMOS imitiert, gehören unter anderem Notion, Slack und Todoist (Produktivitäts), Trello (Projektmanagement) oder Arc (Internet-Browser).

Hat AMOS zukünftig auch iPhones im Visier?

AMOS-Händler haben kürzlich eine Anzeige geschaltet, in der sie behaupteten, dass eine neue Version der Malware iPhone-Nutzer ins Visier nehmen würde. Bisher haben die Sophos-Experten allerdings noch keine Exemplare in freier Wildbahn gesehen und können zum jetzigen Zeitpunkt nicht bestätigen, dass eine iOS-Version von AMOS im Umlauf ist.

Eine mögliche treibende Kraft hinter dieser Ankündigung ist der Digital Markets Act (DMA) der EU, nach dem Apple verpflichtet ist, ab iOS 17.4 in der EU ansässigen iPhone-Nutzern alternative App-Marktplätze zur Verfügung zu stellen. Entwicklern wird es auch gestattet sein, Apps direkt von ihrer Website aus zu verbreiten – was möglicherweise bedeutet, dass Bedrohungsakteure, die eine iOS-Version von AMOS verbreiten möchten, dieselben Malvertising-Techniken anwenden könnten, die sie derzeit verwenden, um macOS-Benutzer anzusprechen.

Mehr bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


 

Passende Artikel zum Thema

Phishing: Neue Kampagne nutzt Google Apps Script aus

Google Apps Script ist ein Werkzeug, um Aufgaben in Google-Anwendungen zu automatisieren. Check Point Forscher haben jetzt eine neue Phishing-Kampagne ➡ Weiterlesen

Nordkoreanische Cyberspionage auf Rüstungsunternehmen

In den letzten Jahren wurden die nordkoreanischen Fähigkeiten in der Cyberspionage enorm ausgebaut und gezielte Hackerangriffe auf internationale Unternehmen und ➡ Weiterlesen

Malware attackierte iranische Regierungsnetzwerke

Sicherheitsforscher haben eine ausgefeilte Cyberattacke aufgedeckt. Die Malware richtet sich gegen irakische Regierungsnetzwerke, die mit staatlich unterstützten Akteuren aus dem ➡ Weiterlesen

CloudImposer hatte es auf Google Cloud Platform abgesehen

Eine kritische Remote-Code-Execution-Schwachstelle (RCE) namens CloudImposer hätte es bösartigen Akteuren möglich machen können, Millionen von Google Cloud Platform Servern (GCP) ➡ Weiterlesen

Intels Sicherheitstechnologie TDX soll Schwachstellen haben

​Forscher der Universität Lübeck haben nach ihren Angaben Sicherheitslücken in Intels Sicherheitstechnologie TDX entdeckt. Während die Forscher davor warnen sieht ➡ Weiterlesen

OT Security für Cloud-, Air-Gapped- und Hybrid-Umgebungen

Ein Anbieter von Cybersicherheitslösungen hat seine neue SaaS-Lösung für Betriebstechnologien (OT) vorgestellt. Es handelt sich um die erste Sicherheitslösung, mit ➡ Weiterlesen

Vishing-Angriffe mit KI

Menschen am Telefon sind äußerst anfällig für KI-gestützte Vishing-Angriffe. Die Bedrohung durch solche modernen Technologien wird besonders deutlich, wenn man ➡ Weiterlesen

Datendiebstahl: CeranaKeeper missbraucht Dropbox, OneDrive & Co

Noch treibt der Bedrohungsakteur CeranaKeeper nur Datendiebstahl in Asien. Dort nutzt er Dienste wie Pastebin, Dropbox, OneDrive und GitHub für ➡ Weiterlesen