AMOS colpisce macOS: il malware ruba wallet e sessioni browser

I malware dedicati a macOS non sono più un fenomeno marginale.

La crescita dei dispositivi Apple nei settori professionali e aziendali ha trasformato i sistemi Mac in un obiettivo economicamente interessante per i gruppi cybercriminali. Tra le minacce più aggressive emerse negli ultimi anni c’è AMOS, acronimo di Atomic macOS Stealer: un infostealer progettato specificamente per sottrarre credenziali, wallet crypto, cookie di sessione e dati sensibili dagli utenti Apple.

Fino a pochi anni fa le campagne malevole puntavano quasi esclusivamente su Windows; oggi esistono toolkit multipiattaforma e modelli Malware-as-a-Service con versioni ottimizzate per macOS.

Cos’è AMOS, come funziona e come infetta i Mac

Atomic macOS Stealer è comparso pubblicamente nel 2023 nei circuiti underground del cybercrime. Viene distribuito tramite abbonamenti clandestini e può essere personalizzato dagli affiliati che conducono le campagne di infezione.

Il codice malevolo colpisce Safari, Chrome, Brave, Edge, Opera e Firefox, estraendo password salvate, cookie di sessione, token di autenticazione e cronologia di navigazione. Supporta inoltre il furto di wallet, cercando automaticamente file e database associati a software come Exodus, Electrum e Binance Wallet.

Per diffondersi, AMOS sfrutta campagne phishing e distribuzione tramite software pirata. Gli attaccanti creano siti clone che imitano strumenti legittimi come editor PDF, utility AI o piattaforme di trading. Il malware viene confezionato in file DMG apparentemente autentici: l’utente scarica l’applicazione, avvia il package e autorizza manualmente l’esecuzione, bypassando le protezioni di Gatekeeper.

Le campagne più sofisticate utilizzano firme sviluppatore rubate o certificati temporaneamente validi, combinando AMOS con script AppleScript capaci di richiedere la password tramite finestre che imitano i prompt di sistema. Una volta ottenute le credenziali amministrative, il malware tenta l’estrazione dei dati memorizzati nel Portachiavi.

Furto di sessioni browser, bypass MFA e modello MaaS

Il semplice furto delle password non basta più. Gli infostealer moderni puntano soprattutto ai cookie di sessione e ai token autenticati.

AMOS raccoglie i database SQLite usati dai browser basati su Chromium: se il token rubato risulta ancora valido, gli attaccanti accedono agli account senza conoscere la password originale e senza superare l’autenticazione multifattore. Questa tecnica viene sfruttata contro account Google Workspace, Microsoft 365, exchange crypto e piattaforme SaaS. In diversi incidenti documentati, le sessioni rubate hanno permesso di prendere controllo di caselle email aziendali e ambienti cloud.

Sul piano organizzativo, AMOS segue il modello Malware-as-a-Service: gli sviluppatori vendono accesso a pannelli amministrativi, builder e infrastrutture C2 ad altri criminali. Gli affiliati ricevono strumenti per generare payload personalizzati, monitorare le infezioni e filtrare geograficamente i target. Secondo diverse società di cybersecurity, questo modello ha accelerato enormemente la diffusione dei malware macOS riducendo le competenze tecniche necessarie per avviare campagne.

Come proteggersi da AMOS e dagli infostealer macOS

Le principali società di sicurezza raccomandano un approccio multilivello. Aggiornare macOS è fondamentale perché Apple corregge continuamente vulnerabilità sfruttate attivamente. È importante limitare l’installazione di software da fonti non verificate, controllare i permessi richiesti dalle applicazioni e utilizzare account non amministrativi per ridurre l’impatto di eventuali compromissioni.

Molte aziende implementano soluzioni EDR compatibili con macOS per monitorare processi sospetti, accessi anomali al Portachiavi e comportamenti tipici degli infostealer. La separazione delle sessioni browser, l’uso di password manager dedicati e la revoca periodica dei token autenticati completano la strategia difensiva.