Cybersecurity-Experten haben eine besorgniserregende Weiterentwicklung der bekannten macOS-Malware **Atomic Stealer** (AMOS) identifiziert. Die neueste Version des Schadprogramms verfügt über einen integrierten Backdoor-Mechanismus, der Cyberkriminellen erweiterte Kontrolle über infizierte Mac-Systeme ermöglicht. Diese Entwicklung markiert einen signifikanten Wandel von einem einfachen Datendiebstahl-Tool zu einer umfassenden Bedrohung für die Mac-Sicherheit.
Globale Ausbreitung erreicht über 120 Länder
Aktuelle Analysen von MacPaw-Sicherheitsforschern zeigen das erschreckende Ausmaß der AMOS-Verbreitung. **Über 120 Länder weltweit** sind von aktiven Kampagnen betroffen, wobei die USA, Frankreich, Italien, Großbritannien und Kanada als primäre Zielregionen identifiziert wurden. Die Integration der Backdoor-Funktionalität ermöglicht es Angreifern, **tausende Mac-Geräte** gleichzeitig zu kontrollieren.
Der neue Backdoor-Mechanismus bietet persistenten Zugang zu kompromittierten Systemen und übersteht sogar Neustarts. Cyberkriminelle können dadurch beliebige Befehle ausführen und unbegrenzten zeitlichen Zugriff auf die infizierten Hosts aufrechterhalten.
Entwicklung von Atomic Stealer: Vom Datendieb zur Multifunktions-Malware
Seit der ersten Dokumentation im April 2023 operiert Atomic Stealer nach dem **Malware-as-a-Service-Modell** mit einem monatlichen Abonnementpreis von 1.000 US-Dollar. Die Verbreitung erfolgt über Telegram-Kanäle, was den Betreibern relative Anonymität gewährleistet.
Ursprünglich konzentrierte sich die Malware auf den Diebstahl von macOS-Dateien, Kryptowährungs-Browser-Erweiterungen und gespeicherten Passwörtern. Die jüngsten Updates haben jedoch die Funktionalität drastisch erweitert und verwandeln AMOS in eine komplexe Cyber-Bedrohung.
Veränderte Angriffstaktiken und Verbreitungsmethoden
Moonlock-Sicherheitsexperten beobachten eine strategische Neuausrichtung der AMOS-Betreiber. Statt der traditionellen Verbreitung über gefälschte Websites mit Raubkopien setzen die Angreifer nun auf **gezieltes Phishing** gegen Kryptowährungs-Besitzer sowie gefälschte Bewerbungseinladungen. Diese personalisierten Köder erhöhen die Erfolgswahrscheinlichkeit der Infektionen erheblich.
Technische Architektur des Backdoor-Moduls
Die technische Implementierung des Backdoors demonstriert fortgeschrittene Programmierfähigkeiten. Der Hauptausführungscode liegt in einer *.helper*-Binärdatei vor, die nach der Infektion als versteckte Datei im Home-Verzeichnis des Opfers gespeichert wird.
Für die Persistenz sorgt ein *.agent*-Wrapper-Skript, das den Hauptmodul zyklisch unter der aktuellen Benutzeridentität startet. Die automatische Systemstart-Aktivierung erfolgt über einen LaunchDaemon namens **com.finder.helper**, der mittels AppleScript implementiert wird.
Erweiterte Backdoor-Funktionen und Umgehungstechniken
Der integrierte Backdoor stellt Angreifern ein umfassendes Arsenal zur Verfügung: *Remote-Befehlsausführung*, Tastatureingabe-Überwachung, Einschleusung zusätzlicher Payloads und Möglichkeiten für laterale Netzwerkbewegungen. Zur Erkennung von Sandbox- oder Virtual-Machine-Umgebungen nutzt die Malware *system_profiler*-Abfragen.
Durch String-Obfuskation und andere Verschleierungstechniken versucht AMOS, Sicherheitssysteme zu umgehen. Erhöhte Systemprivilegien erlangt die Malware durch Passwort-Diebstahl während der initialen Kompromittierung.
Die Backdoor-Integration in Atomic Stealer stellt eine kritische Eskalation der Bedrohungslage für macOS-Nutzer dar. Wirksamer Schutz erfordert einen mehrschichtigen Sicherheitsansatz: Vermeidung verdächtiger Links, regelmäßige Systemupdates und Einsatz zuverlässiger Antiviren-Lösungen. Nur durch konsequente Sicherheitsmaßnahmen können sich Mac-Benutzer vor dieser evolvierten Cyber-Bedrohung schützen.
