{"id":25389,"date":"2024-10-30T05:22:20","date_gmt":"2024-10-30T13:22:20","guid":{"rendered":"https:\/\/www.palada.net\/index.php\/2024\/10\/30\/news-19119\/"},"modified":"2024-10-30T05:22:20","modified_gmt":"2024-10-30T13:22:20","slug":"news-19119","status":"publish","type":"post","link":"https:\/\/www.palada.net\/index.php\/2024\/10\/30\/news-19119\/","title":{"rendered":"Infostealer AMOS will Cookies, Passw\u00f6rter und Autofills – von macOS"},"content":{"rendered":"

Credit to Author: J\u00f6rg Schindler| Date: Tue, 10 Sep 2024 09:00:41 +0000<\/strong><\/p>\n

\n

Seit Langem h\u00e4lt sich der Glaube, dass das macOS-Betriebssystem weniger anf\u00e4llig f\u00fcr Schadsoftware ist als Windows. Das mag an der geringeren Marktdominanz liegen und verschiedenen eigenen Sicherheitsfeatures, die von den Malware-Entwicklern andere Ans\u00e4tze verlangen. Man ging davon aus, dass hier nur unkonventionelle Attacken und Schadsoftware eine Chance h\u00e4tten. Diese Annahme ist nun endlich pass\u00e9.<\/p>\n

Mainstream-Schadsoftware greift mittlerweile regelm\u00e4\u00dfig macOS-Systeme an \u2013 wenn auch nicht in dem Ausma\u00df wie Windows-Ger\u00e4te. Infostealer sind hierf\u00fcr ein Paradebeispiel: In den Sophos Telemetrieauswertungen sind sie f\u00fcr \u00fcber 50 Prozent aller MacOS-Auff\u00e4lligkeiten in den letzten sechs Monaten verantwortlich, und: Atomic MacOS Stealer (AMOS) ist eine der h\u00e4ufigsten Familien.<\/p>\n

Cookies, Passw\u00f6rter, Autofll-Dateien \u2013 AMOS schnappt sich alles
<\/strong>AMOS \u2013 zuerst von dem Sicherheitsunternehmen Cyble im April 2023 ver\u00f6ffentlicht \u2013 ist entwickelt worden, um sensible Daten von infizierten Maschinen zu stehlen, mit allem drum und dran: Cookies, Passw\u00f6rter, Autofill-Daten und Inhalte Wallets mit Kryptow\u00e4hrungen. Die \u201eBeute\u201c nutzt der Angreifer entweder f\u00fcr sich selbst, oder \u2013 das ist der wahrscheinlichere Fall \u2013 sie wird an einen anderen Akteur auf dem kriminellen Markt weiterverkauft.<\/span><\/p>\n

Auf \u00f6ffentlichen Kan\u00e4len des Telegram-Messengers wird AMOS angepriesen und verkauft. Im Mai 2023 noch f\u00fcr gut 900 Euro im Monat zu haben, muss man im Mai 2024 schon 2.715 Euro auf den Tisch legen. AMOS ist zwar nicht der einzige Akteur, MetaStealer, KeySteal und CherryPie konkurrieren, aber der prominenteste. Daher hat Sophos den ausf\u00fchrlichen Steckbrief Atomic macOS Stealer leads sensitive data theft on macOS<\/a> zur Wirkung und Vorgehensweise von AMOS erstellt, um besser zur Abwehr gewappnet zu sein.<\/p>\n

AMOS-Infektion via Malvertising oder SEO Poisoning
<\/strong>In den Telemetriedaten von Sophos und anderen Analysten zeigt sich, dass viele Bedrohungsakteure ihre Opfer via Malvertising oder \u201eSEO poisoning\u201c (Ausnutzen von Algorithmen f\u00fcr die Suchmaschinenplatzierung, um b\u00f6sartige Websites an die Spitze der Suchergebnisse zu bringen) mit AMOS infizieren. Suchen unbedarfte Nutzer nach dem Namen einer bestimmten Software oder Funktionalit\u00e4t, erscheint die schadhafte Seite in den Suchergebnissen und bietet einen Download an. Die falsche Anwendung imitiert typischerweise die legitime App und installiert Malware auf dem Ger\u00e4t. Zu den legitimen Anwendungen, die AMOS imitiert, geh\u00f6ren unter anderem Notion, Slack und Todoist (Produktivit\u00e4ts), Trello (Projektmanagement) oder Arc (Internet-Browser).<\/span><\/p>\n

Hat AMOS zuk\u00fcnftig auch iPhones im Visier?
<\/strong>AMOS-H\u00e4ndler haben k\u00fcrzlich eine Anzeige geschaltet, in der sie behaupteten, dass eine neue Version der Malware iPhone-Nutzer ins Visier nehmen w\u00fcrde. Bisher haben die Sophos-Experten allerdings noch keine Exemplare in freier Wildbahn gesehen und k\u00f6nnen zum jetzigen Zeitpunkt nicht best\u00e4tigen, dass eine iOS-Version von AMOS im Umlauf ist.<\/span><\/p>\n

\"\"<\/a><\/p>\n

Ein Beitrag auf dem AMOS-Telegram-Kanal zum iOS-Targeting. Der russische Text lautet (\u00fcbersetzt.): \u201eNun, das iPhone ist ge\u00f6ffnet. Wir erwarten, dass ein neues Produkt f\u00fcr iOS die breite Masse erreicht. Tests zeigten Erfolg. Der Preis wird angemessen sein.\u201c <\/em><\/p>\n

Eine m\u00f6gliche treibende Kraft hinter dieser Ank\u00fcndigung ist der Digital Markets Act (DMA) der EU, nach dem Apple verpflichtet ist, ab iOS 17.4 in der EU ans\u00e4ssigen iPhone-Nutzern alternative App-Marktpl\u00e4tze zur Verf\u00fcgung zu stellen. Entwicklern wird es auch gestattet sein, Apps direkt von ihrer Website aus zu verbreiten \u2013 was m\u00f6glicherweise bedeutet, dass Bedrohungsakteure, die eine iOS-Version von AMOS verbreiten m\u00f6chten, dieselben Malvertising-Techniken anwenden k\u00f6nnten, die sie derzeit verwenden, um macOS-Benutzer anzusprechen.<\/p>\n

Wie k\u00f6nnen Nutzer sich sch\u00fctzen?<\/strong><\/p>\n