Atomic macOS Stealer: Neue Hintertür ermöglicht dauerhaften Zugriff auf Apple-Rechner

Die Malware Atomic macOS Stealer (AMOS) stellt für Nutzer von Apple-Geräten eine wachsende Bedrohung dar: Laut einer aktuellen Analyse der Sicherheitsfirma Moonlock enthält die neueste Version der Schadsoftware erstmals eine fest integrierte Hintertür. Dadurch können Angreifer dauerhaft auf infizierte Systeme zugreifen, Befehle aus der Ferne ausführen und die volle Kontrolle über kompromittierte Macs übernehmen – selbst nach einem Neustart.

Zudem zeigt sich ein Strategiewechsel der Angreifer: Wurde AMOS bislang hauptsächlich über Webseiten mit raubkopierter Software verbreitet, kommen nun zunehmend gezielte Phishing-Kampagnen zum Einsatz. Besonders im Visier sind Besitzer von Kryptowährungen und freiberuflich Tätige, die über fingierte Bewerbungsgespräche zur Installation der Malware verleitet werden sollen.

Die aktuelle Version nutzt sogenannte LaunchDaemons, um auch nach Systemneustarts aktiv zu bleiben, und verfolgt Opfer anhand eindeutiger IDs. Zudem wurde die Command-and-Control-Infrastruktur überarbeitet, was auf eine Professionalisierung der Angriffe hindeutet.

Moonlock, die Cybersicherheitsabteilung von MacPaw, stuft die neue Version als die bislang gefährlichste Ausprägung von AMOS ein. Die Hintertür öffnet Angreifern nicht nur den Zugriff auf sensible Daten, sondern auf das gesamte System – und könnte Tausende Mac-Nutzer weltweit betreffen. AMOS-Kampagnen wurden bereits in über 120 Ländern beobachtet, besonders betroffen sind die USA, Frankreich, Italien, Großbritannien und Kanada.

Die mit Russland in Verbindung gebrachte Gruppe hinter AMOS war bisher vor allem für den Diebstahl von Daten aus Browsern und Kryptowährungs-Wallets bekannt. Mit der Integration einer dauerhaften Hintertür eskalieren die Angriffe deutlich – sowohl in technischer Hinsicht als auch im Hinblick auf ihre Zielsetzung.

Ob die Änderungen von den ursprünglichen Entwicklern oder Dritten stammen, die den Code weiterentwickelt haben, ist derzeit unklar. Fest steht: Die Sicherheitslage für Mac-Nutzer hat sich durch dieses Update dramatisch verschärft.

Entwicklung des Atomic Stealer Quelle: Moonlock

Versteckte Hintertür: So verschafft sich AMOS dauerhaften Zugriff auf den Mac

Cybersicherheitsforscher zeigen, wie raffiniert die Angreifer mittlerweile vorgehen: Eine versteckte Hintertür ermöglicht es ihnen, dauerhaft auf kompromittierte Macs zuzugreifen und umfangreiche Kontrolle über das System zu erlangen.

Kern der Backdoor ist eine ausführbare Datei mit dem unscheinbaren Namen „.helper“, die nach der Infektion heimlich im Home-Verzeichnis des Nutzers abgelegt wird. Ein weiteres verborgenes Skript namens „.agent“ sorgt dafür, dass „.helper“ kontinuierlich im Hintergrund läuft – stets im Kontext des angemeldeten Benutzers.

Damit die Malware auch nach einem Neustart aktiv bleibt, wird ein sogenannter LaunchDaemon mit dem Namen com.finder.helper installiert. Dieser Schritt erfolgt über ein AppleScript – und mit erweiterten Rechten. Die Angreifer nutzen dabei das Benutzerpasswort, das sie bereits in einer früheren Infektionsphase unter Vorspiegelung falscher Tatsachen abgegriffen haben.

Mit diesen Rechten kann die Malware nicht nur beliebige Befehle ausführen, sondern auch Systemdateien manipulieren – etwa durch die Änderung der Besitzrechte von Konfigurationsdateien auf Root-Ebene („root:wheel“), was unter macOS Superuser-Zugriff bedeutet.

Die Hintertür bietet eine Vielzahl an Angriffsmöglichkeiten: Fernsteuerung des Systems, Protokollierung von Tastatureingaben, Nachladen weiterer Schadsoftware oder das Ausspähen anderer Geräte im selben Netzwerk gehören dazu.

Um sich vor Entdeckung zu schützen, prüft die Malware vor ihrer Ausführung, ob sie in einer Testumgebung läuft – etwa in einer Sandbox oder virtuellen Maschine. Zusätzlich verschleiert sie ihre internen Zeichenketten, um Sicherheitslösungen die Analyse zu erschweren.

Quelle: moonlock

---

---