Um malware chamado Amos Stealer está sendo usado por cibercriminosos para roubar dados de computadores Mac. A empresa de segurança CyberProof identificou uma campanha ativa em que o programa malicioso é distribuído por meio de downloads falsos, sites fraudulentos e técnicas de engenharia social. O objetivo é financeiro: comprometer ambientes corporativos e extrair credenciais de acesso.O que chama atenção nessa campanha é a forma como o malware opera. Em vez de instalar programas suspeitos, ele abusa de ferramentas legítimas que já existem no macOS para agir sem levantar suspeitas.O ataque começa com um comando discretoA infecção se inicia quando o sistema executa um comando usando o “curl”, um utilitário nativo do Mac usado para transferir arquivos pela internet. O comando baixa um script malicioso de um servidor controlado pelos atacantes.Script do Amos Stealer exibe comandos usados para copiar arquivos sensíveis do usuário, incluindo dados do Chrome, chaves SSH e o banco de dados do Keychain, antes de compactá-los para exfiltração. Imagem: CyberProof.Para passar despercebido, o comando usa flags específicas que suprimem alertas de erro, ocultam o progresso do download e garantem que tudo aconteça em silêncio. Basicamente, o usuário não vê nada na tela enquanto o arquivo malicioso é baixado.Após o download, o script aciona automaticamente o AppleScript, uma linguagem de automação nativa do Mac, para iniciar a coleta de dados.O que o malware roubaO Amos Stealer varre o sistema em busca de informações de alto valor. Nos navegadores Google Chrome e Microsoft Edge, ele coleta senhas salvas, cookies de sessão e dados de preenchimento automático de formulários.Trecho do código do Amos Stealer mostra a lógica de envio dos dados em partes de 10 MB, com sistema de novas tentativas em caso de falha na transmissão ao servidor de comando e controle. Imagem: CyberProof.Além disso, o malware copia o arquivo de banco de dados do Keychain, que é o gerenciador de senhas integrado ao macOS, chamado “login[.]keychain-db”. Isso permite que os atacantes acessem credenciais corporativas e tokens de autenticação armazenados no sistema.O malware também vasculha os diretórios do usuário em busca de arquivos sensíveis de desenvolvimento, como .ssh, .kube, .zshrc e .gitconfig. Esses arquivos costumam conter chaves de acesso a servidores, repositórios e ambientes de nuvem.Como os dados são enviados aos criminososPara preparar o envio, o malware usa outra ferramenta nativa do Mac chamada “ditto” para compactar todos os arquivos roubados em um único arquivo chamado “osalogging.zip”, armazenado na pasta temporária /tmp.Script baixado via curl contém domínio, token e chave de API hardcodados, e aciona o osascript para iniciar a coleta de dados assim que é executado no sistema da vítima. Imagem: CyberProof.Esse arquivo é então dividido em partes de 10 MB. Para cada envio, o script gera um identificador de sessão único combinando o horário atual com uma sequência aleatória de caracteres. Isso dificulta a rastreabilidade da operação.Os dados são transmitidos ao servidor dos atacantes via HTTP. Se o envio falhar, o sistema tenta novamente até oito vezes antes de desistir.O malware apaga os próprios rastrosApós o envio bem-sucedido, o Amos Stealer executa comandos para deletar o arquivo compactado e a pasta temporária criada durante o processo. Isso é feito para eliminar evidências da infecção no computador da vítima.Esse comportamento de autolimpeza torna a detecção mais difícil, especialmente em empresas que não monitoram ativamente os endpoints.Log de segurança mostra sequência de comandos executados pelo Amos Stealer no macOS, incluindo a criação do arquivo osalogging.zip via ferramenta nativa ditto antes do envio ao servidor dos atacantes. Imagem: CyberProof.Como se protegerA CyberProof recomenda que empresas reforcem as políticas do Gatekeeper, o sistema de verificação de aplicativos do macOS, para impedir a execução de programas de fontes não verificadas. Também é indicado manter o XProtect, o antimalware nativo da Apple, sempre atualizado e aplicar as atualizações de segurança do sistema assim que forem lançadas.Monitorar comandos curl incomuns nos endpoints é apontado como uma medida prática para identificar tentativas de infecção antes que o malware complete sua execução. Restringir privilégios administrativos nos dispositivos corporativos também reduz o impacto de uma eventual comprometimento.Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.