.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
I team di Sophos Managed Detection and Response (MDR) hanno recentemente gestito un incidente che ha coinvolto un’infezione da infostealer su un host macOS di un cliente. Durante le indagini è emerso che il malware era probabilmente una variante di AMOS (Atomic macOS), una nota famiglia malware di cui Sophos aveva già parlato in passato.
L’attacco è iniziato con un’esca in stile ClickFix, in cui l’utente veniva indotto a eseguire un comando nel Terminale. Non è la prima volta che questa tecnica di social engineering viene utilizzata insieme a infostealer per macOS: già a marzo di quest’anno Sophos aveva segnalato più varianti del malware MacSync che adottavano lo stesso approccio.
AMOS rappresenta una minaccia significativa: nel 2025 ha generato quasi il 40% degli aggiornamenti di protezione macOS di Sophos – più del doppio rispetto a qualsiasi altra famiglia malware per macOS – e, al momento della stesura dell’articolo, è collegato a quasi la metà delle segnalazioni clienti relative a stealer macOS negli ultimi tre mesi.
Parte di un’offerta malware-as-a-service (MaaS), AMOS è progettato per rubare dati del Keychain, credenziali dei browser, cookie, informazioni di autofill e altri asset di valore elevato, come wallet di criptovalute, consentendo il rapido takeover degli account e attacchi successivi. Le prime segnalazioni pubbliche risalgono almeno ad aprile 2023.
Più recentemente, nell’agosto 2025, CrowdStrike ha riportato una campagna che utilizzava una variante di AMOS chiamata “SHAMOS”. Nel dicembre 2025 Huntress ha rilevato incidenti legati alla diffusione di AMOS tramite risultati di ricerca manipolati relativi a conversazioni ChatGPT/Grok, mentre nel febbraio 2026 Microsoft ha citato AMOS nel contesto più ampio degli infostealer che si stanno espandendo nell’ecosistema macOS sfruttando piattaforme e utility considerate affidabili per la distribuzione.
Come evidenziato da numerosi report precedenti e confermato anche nel caso analizzato da Sophos, le campagne AMOS si basano prevalentemente sul social engineering piuttosto che su catene di exploit tecnici. In alcuni casi gli attaccanti utilizzano falsi installer o esche basate su software pirata, ma ClickFix sembra diventare un vettore di infezione sempre più diffuso. Più recentemente, come descritto nell’analisi di MacSync, alcuni ricercatori hanno osservato anche l’utilizzo di esche collegate ai modelli di AI.
Il social engineering, però, non si limita all’infezione iniziale. Un comportamento ricorrente osservato dai difensori consiste nel richiedere ripetutamente la password macOS della vittima fino a ottenerla, utilizzandola poi per eseguire operazioni privilegiate.
Panoramica della catena di attacco
- Una tecnica di social engineering convince l’utente a eseguire un comando nel Terminale
- Viene scaricato ed eseguito uno script bootstrap di primo stadio
- Il malware acquisisce e verifica la password macOS dell’utente
- Un payload di secondo stadio viene scaricato ed eseguito con privilegi elevati
- Routine anti-analisi verificano la presenza di ambienti virtualizzati
- Il malware raccoglie estesi dati utente e di sistema, tra cui:
- I dati rubati vengono archiviati e preparati per l’esfiltrazione
- Le informazioni vengono inviate all’infrastruttura controllata dagli attaccanti
- La persistenza viene stabilita tramite LaunchDaemon
- Il sistema viene registrato presso il server di command-and-control (C2)
Leggi tutto l’articolo: https://www.sophos.com/en-us/blog/why-amos-matters-the-macos-malware-stealing-data-at-scale