Theo The Hacker News, AMOS gia nhập vào danh sách malware nhắm đến hệ điều hành macOS của Apple, chương trình được quảng bá trên Telegram với giá thuê 1.000 USD/tháng.

Báo cáo từ các nhà nghiên cứu của Cyble cho biết Atomic macOS Stealer có thể đánh cắp nhiều loại thông tin khác nhau, bao gồm mật khẩu Keychain, thông tin hệ thống, các tập tin từ thư mục tài liệu và desktop, thậm chí cả mật khẩu macOS.

Các tính năng khác gồm khả năng trích xuất dữ liệu từ trình duyệt web và ví tiền điện tử như Atomic, Binance, Coinomi, Electrum và Exodus. Những người thuê AMOS từ các nhà phát triển được cung cấp bảng điều khiển web dùng để quản lý nạn nhân.

Phần mềm độc hại này có dạng một tập tin ảnh đĩa chưa được ký (Setup.dmg), khi thực thi sẽ yêu cầu nạn nhân nhập mật khẩu hệ thống để leo thang đặc quyền và thực hiện các hoạt động độc hại của nó, kỹ thuật tương tự với MacStealer.

Hình thức xâm nhập ban đầu được dùng để phân phối malware này không rõ ràng, có thể người dùng bị lừa tải xuống và thực thi nó dưới vỏ bọc của phần mềm hợp pháp.

AMOS được gửi tới VirusTotal vào ngày 24/4/2023 với tên Notion-7.0.6.dmg, cho thấy nó đang được cho là ứng dụng ghi chú phổ biến. Các mẫu khác do MalwareHunterTeam phát hiện đã được phân phối dưới cái tên Photoshop CC 2023.dmg và Tor Browser.dmg.

Cyble nhận định các malware như Atomic macOS Stealer có thể được cài đặt bằng cách khai thác lỗ hổng hoặc lưu trữ trên các trang web lừa đảo.

Những thông tin cá nhân trên máy tính nạn nhân được Atomic tiến hành thu thập, nén vào kho lưu trữ ZIP và gửi đến một máy chủ điều khiến. Tập tin ZIP sẽ được gửi đến các kênh Telegram được định cấu hình trước.

Sự phát triển này là một dấu hiệu cho thấy macOS đang ngày càng trở thành mục tiêu để triển khai phần mềm độc hại đánh cắp. Người dùng chỉ nên tải xuống và cài đặt phần mềm từ các nguồn đáng tin cậy, bật xác thực hai yếu tố, xem xét các quyền của ứng dụng và hạn chế việc mở các liên kết đáng ngờ nhận được qua email hoặc tin nhắn SMS.