- O AMOS depende da execução direta de comandos de terminal maliciosos pelos usuários.
- O Sophos MDR identificou engenharia social estilo ClickFix em ataques macOS.
- Metade dos relatórios de roubo de macOS estão relacionados ao AMOS, mas a Apple está reagindo.
O Atomic macOS Stealer, também conhecido como AMOS, é uma ameaça persistente à segurança do macOS porque não requer vulnerabilidades sofisticadas de dia zero para comprometer dispositivos Apple.
Em vez disso, esta família de malware explora repetidamente o comportamento normal do usuário, enganando-os para que insiram um único comando em seu aplicativo de terminal.
Incidentes recentemente investigados Equipe Sophos MDR Esse padrão surgiu. Um estratagema no estilo ClickFix enganou as vítimas para que executassem manualmente linhas de malware.
AMOS usa manipulação psicológica em vez de exploração técnica.
Essa abordagem está se tornando cada vez mais proeminente, com pesquisadores observando táticas de engenharia social semelhantes em várias campanhas de infostealer do macOS ao longo de 2025 e início de 2026.
O AMOS foi responsável por quase 40% de todas as atualizações de proteção do macOS distribuídas pela Sophos em 2025, mais que o dobro da taxa de detecção de outras famílias de malware do macOS durante o mesmo período.
Além disso, quase metade de todos os relatórios de clientes ladrões de macOS nos últimos três meses estavam relacionados ao AMOS ou suas variantes.
As empresas de segurança têm rastreado esta operação de malware como serviço desde pelo menos abril de 2023, com campanhas notáveis incluindo uma variante chamada SHAMOS relatada pela CrowdStrike em agosto de 2025.
Em dezembro de 2025, a Huntress documentou a propagação de infecções por meio de resultados de pesquisa prejudiciais relacionados a conversas do ChatGPT e do Grok.
Como o malware coleta senhas e dados
Depois que o comando inicial do terminal executa o script de inicialização, o malware solicita imediatamente ao usuário a senha do sistema macOS.
O malware então verifica essas credenciais localmente usando um comando simples de serviço de diretório e as armazena em um arquivo oculto chamado .pass no diretório inicial do usuário.
Quando a senha é protegida, o AMOS baixa uma carga secundária que remove atributos estendidos para ignorar os avisos de segurança do macOS.
O Stealer também consulta os dados do system_profiler em busca de métricas como QEMU, VMware e KVM para determinar se ele está sendo executado em uma máquina virtual ou ambiente sandbox.
O malware então coleta uma ampla gama de informações confidenciais, incluindo o banco de dados de chaves do macOS. Credenciais do navegador, arquivos de armazenamento estendido e tokens de sessão local no Firefox e no Chrome.
Algumas variantes também distribuem aplicativos falsos Ledger Wallet e Trezor Suite projetados para roubar sementes e credenciais de carteiras de criptomoedas.
Todos os arquivos coletados são compactados em um único arquivo usando o utilitário idem antes de serem enviados a um servidor controlado pelo invasor por meio de uma solicitação curl POST.
Para manter o acesso a longo prazo, o malware instala o LaunchDaemon, que garante o lançamento automático sempre que o sistema é reinicializado.
Apesar da seriedade do AMOS, vale a pena questionar se os fornecedores de segurança estão exagerando na novidade do AMOS, visto que o Infostealer tem como alvo os sistemas Windows há quase duas décadas.
A forte dependência do malware no consentimento do usuário (alguém deve estar disposto a colar e executar um comando de terminal) cria uma barreira significativa que usuários experientes em tecnologia podem facilmente contornar.
Além disso, as melhorias contínuas da Apple no Gatekeeper, XProtect e nos requisitos de reconhecimento de firma podem tornar o AMOS significativamente ineficaz após algumas atualizações do sistema operacional.
O risco real pode estar menos no próprio AMOS e mais na verdade inconveniente de que nenhuma plataforma está protegida de usuários que ignoram avisos básicos de segurança.
Siga o TechRadar no Google Notícias e Adicione-nos como fonte preferencial Receba notícias, análises e opiniões de especialistas em seu feed.
