Una nueva campaña de robo de información de AMOS está abusando de los anuncios de búsqueda de Google para atraer a los usuarios a conversaciones de Grok y ChatGPT que parecen ofrecer instrucciones «útiles» pero que en última instancia conducen a la instalación del malware de robo de información AMOS en macOS.
La campaña fue visto por primera vez por investigadores de la empresa de ciberseguridad Kaspersky ayer, mientras que la plataforma de seguridad administrada Huntress publicó un informe más detallado hoy.
El Hacer clic en arreglar El ataque comienza cuando las víctimas buscan términos relacionados con macOS, como preguntas de mantenimiento, resolución de problemas o Atlas, el navegador web de OpenAI con tecnología de inteligencia artificial para macOS.
El anuncio de Google enlaza directamente a conversaciones de ChatGPT y Grok que se habían compartido públicamente en preparación para el ataque. Los chats están alojados en plataformas LLM legítimas y contienen instrucciones maliciosas utilizadas para instalar el malware.
Fuente: Cazadora
«Durante nuestra investigación, el equipo de Huntress reprodujo estos resultados envenenados en múltiples variaciones de la misma pregunta, 'cómo borrar datos en iMac', 'borrar datos del sistema en iMac', 'liberar almacenamiento en Mac', confirmando que este no es un resultado aislado sino una campaña de envenenamiento deliberada y generalizada dirigida a consultas de solución de problemas comunes». Los investigadores de Huntress explican.
Si los usuarios caen en el truco y ejecutan los comandos del chat de IA en la Terminal macOS, una URL codificada en base64 se decodifica en un script bash (actualización) que carga un cuadro de diálogo de solicitud de contraseña falsa.
Fuente: Cazadora
Cuando se proporciona la contraseña, el script la valida, la almacena y la utiliza para ejecutar comandos privilegiados, como descargar el infostealer de AMOS y ejecutar el malware con privilegios de nivel raíz.
Amós era documentado por primera vez en abril de 2023. Es una operación de malware como servicio (MaaS) que alquila al ladrón de información 1.000 dólares al mes, dirigida exclusivamente a sistemas macOS.
A principios de este año, AMOS Se agregó un módulo de puerta trasera. que permite a los operadores ejecutar comandos en hosts infectados, registrar pulsaciones de teclas y soltar cargas útiles adicionales.
AMOS cae sobre /Usuarios/$USUARIO/ como un archivo oculto (.helper). Cuando se inicia, escanea la carpeta de aplicaciones en busca de Ledger Wallet y Trezor Suite. Si los encuentra, los sobrescribe con versiones troyanizadas que solicitan a la víctima que ingrese su frase inicial «por razones de seguridad».
Fuente: Cazadora
AMOS también apunta a carteras de criptomonedas de Electrum, Exodus, MetaMask, Ledger Live, Coinbase Wallet y otras; datos del navegador como cookies, contraseñas guardadas, datos de autocompletar y tokens de sesión; Datos de macOS Keychain, como contraseñas de aplicaciones y credenciales de Wi-Fi; y archivos en el sistema de archivos.
La persistencia se logra mediante un LaunchDaemon (com.finder.helper.plist) que ejecuta un AppleScript oculto que actúa como un bucle de vigilancia y reinicia el malware en un segundo si se finaliza.
Estos últimos ataques de ClickFix son otro ejemplo más de actores de amenazas que experimentan con nuevas formas de explotar plataformas legítimas y populares como OpenAI y X.
Los usuarios deben estar atentos y evitar ejecutar comandos que encontraron en línea, especialmente si no comprenden completamente lo que hacen.
Kaspersky señaló que, incluso después de llegar a estas conversaciones LLM manipuladas, una simple pregunta de seguimiento preguntando a ChatGPT si las instrucciones proporcionadas son seguras de ejecutar revela que no lo son.
La IAM rota no es sólo un problema de TI: el impacto se extiende a toda su empresa.
Esta guía práctica cubre por qué las prácticas tradicionales de IAM no logran mantenerse al día con las demandas modernas, ejemplos de cómo es un «buen» IAM y una lista de verificación simple para construir una estrategia escalable.
