Los investigadores de ciberseguridad han identificado una evolución crítica en el malware Atomic Stealer (AMOS), una amenaza especializada que afecta exclusivamente a dispositivos macOS. Esta nueva variante incorpora un módulo backdoor integrado que amplía significativamente las capacidades de control remoto de los ciberdelincuentes sobre los sistemas comprometidos.
Impacto Global de la Campaña AMOS
El análisis realizado por especialistas de MacPaw revela que las campañas de distribución de Atomic Stealer han alcanzado más de 120 países a nivel mundial. Los territorios más afectados incluyen Estados Unidos, Francia, Italia, Reino Unido y Canadá, donde se ha documentado la mayor concentración de infecciones.
La integración del componente backdoor representa un salto cualitativo en la sofisticación de esta amenaza. Los atacantes ahora pueden mantener acceso persistente a miles de dispositivos Mac comprometidos, ejecutar comandos arbitrarios y garantizar la supervivencia del malware incluso después de reinicios del sistema.
Transformación del Modelo de Negocio Cibercriminal
Documentado por primera vez en abril de 2023, Atomic Stealer opera bajo el modelo Malware-as-a-Service (MaaS) con una suscripción mensual de 1,000 dólares. La distribución se realiza principalmente a través de canales de Telegram, proporcionando un nivel considerable de anonimato a los operadores.
Inicialmente, las funcionalidades principales se limitaban a la extracción de archivos del sistema macOS, credenciales de extensiones de criptomonedas y contraseñas almacenadas. Sin embargo, las actualizaciones recientes han transformado esta herramienta en una plataforma multifuncional de acceso remoto.
Evolución en las Técnicas de Distribución
Los analistas de Moonlock han observado un cambio estratégico en los métodos de propagación. Los operadores han abandonado la distribución tradicional mediante sitios web falsos con software pirata, adoptando enfoques más sofisticados:
Las nuevas tácticas incluyen ataques de phishing dirigidos contra propietarios de criptomonedas con señuelos personalizados y ofertas laborales falsificadas. Esta metodología incrementa considerablemente las tasas de éxito de infección al aprovechar la ingeniería social avanzada.
Arquitectura Técnica del Componente Backdoor
El diseño del nuevo módulo backdoor demuestra un alto nivel de sofisticación técnica. El ejecutable principal se presenta como un binario .helper que, tras la infección, se almacena como archivo oculto en el directorio personal de la víctima.
La persistencia se logra mediante un script envolvente .agent que garantiza la ejecución cíclica del módulo principal con privilegios de usuario. Para el inicio automático durante el arranque del sistema, se utiliza un LaunchDaemon denominado com.finder.helper, implementado a través de AppleScript.
Capacidades Expandidas del Backdoor
El módulo backdoor proporciona a los atacantes un arsenal completo de funcionalidades: ejecución remota de comandos, captura de pulsaciones de teclado, despliegue de cargas útiles adicionales y capacidades para movimiento lateral dentro de la red comprometida.
Para evadir sistemas de detección, los desarrolladores han implementado verificaciones de entornos sandbox o máquinas virtuales mediante system_profiler, además de aplicar técnicas de ofuscación de cadenas. El malware obtiene privilegios elevados interceptando credenciales de usuario durante la fase inicial de infección.
La incorporación de funcionalidades backdoor en Atomic Stealer constituye una escalada significativa en el panorama de amenazas para macOS. Los usuarios de dispositivos Apple deben implementar medidas de seguridad reforzadas: evitar enlaces sospechosos, mantener actualizaciones regulares del sistema y utilizar soluciones antimalware confiables. Un enfoque integral de ciberseguridad resulta esencial para mitigar eficazmente estas amenazas multifuncionales emergentes.
