- AMOS depende de que los usuarios ejecuten comandos de terminal maliciosos
- Sophos MDR detecta ingeniería social estilo ClickFix en un ataque a macOS
- La mitad de los informes de macOS Stealer involucran a AMOS, pero Apple está contraatacando
Atomic macOS Stealer, también conocido como AMOS, es una amenaza persistente a la seguridad de macOS porque no requiere vulnerabilidades sofisticadas de día cero para comprometer los dispositivos Apple.
En cambio, esta familia de malware explota el comportamiento común de los usuarios al engañarlos repetidamente para que escriban un solo comando en su propia aplicación de terminal.
Un incidente reciente investigado por los equipos de Sophos MDR reveló exactamente este patrón: un exploit estilo ClickFix provocó que una víctima ejecutara manualmente una línea de código malicioso.
AMOS utiliza la manipulación psicológica en tareas técnicas
A medida que este método se volvió cada vez más prominente, los investigadores observaron tácticas de ingeniería social similares en múltiples campañas de macOS Infostellar en 2025 y principios de 2026.
AMOS representó casi el 40 % de todas las actualizaciones de seguridad de macOS implementadas por Sophos en 2025, más del doble de la tasa de detección de cualquier otra familia de malware de macOS durante el mismo período.
Además, casi la mitad de todos los informes de clientes de macOS Stellar en los últimos tres meses involucran a AMOS o sus variantes cercanas.
Las empresas de seguridad han rastreado esta operación de malware como servicio desde al menos abril de 2023, con campañas notables que incluyen una variante denominada SHAMOS reportada por CrowdStrike en agosto de 2025.
En diciembre de 2025, Huntress documentó la propagación de la infección a través de resultados de búsqueda envenenados asociados con conversaciones de ChatGPT y Grok.
Cómo el malware recopila contraseñas y datos
Después de que el comando inicial de Terminal ejecuta un script de arranque, el malware solicita inmediatamente al usuario su contraseña del sistema macOS.
El código malicioso valida este certificado localmente mediante un simple comando de servicios de directorio antes de guardarlo en un archivo oculto llamado .pass en el directorio de inicio del usuario.
Una vez que la contraseña está protegida, AMOS descarga una carga útil secundaria que elimina funciones extendidas para evitar las advertencias de seguridad de macOS.
También roba si se está ejecutando en una máquina virtual o en un entorno sandbox consultando los datos de system_profiler en busca de indicadores como QEMU, VMware o KVM.
El malware procede a recopilar una amplia gama de información confidencial, incluida la base de datos de llaveros de macOS, credenciales del navegador, archivos de almacenamiento de extensiones y tokens de sesión local de Firefox y Chrome.
Algunas variantes también implementan aplicaciones falsas Ledger Wallet y Treasure Suite diseñadas para robar semillas y credenciales de billeteras de criptomonedas.
Todos los archivos recopilados se comprimen en un único archivo utilizando la utilidad dito antes de enviarlos al servidor controlado por el atacante mediante solicitudes POST curl.
Para mantener el acceso a largo plazo, el malware instala un demonio de lanzamiento que garantiza la ejecución automática después de cada reinicio del sistema.
A pesar de la ferocidad de AMOS, uno puede preguntarse si los proveedores de seguridad están exagerando su novedad, ya que las infoestelares han estado apuntando a los sistemas Windows durante casi dos décadas.
La gran dependencia del malware del consentimiento del usuario (alguien tiene que pegar y ejecutar voluntariamente un comando de Terminal) crea una barrera importante que los usuarios técnicamente alfabetizados pueden sortear fácilmente.
Además, las mejoras continuas de Apple en los requisitos de gatekeepers, xprotect y notarización pueden hacer que AMOS sea esencialmente inutilizable con unas pocas actualizaciones del sistema operativo.
El peligro real puede residir menos en AMOS y más en la incómoda verdad de que ninguna plataforma es inmune a los usuarios que ignoran las precauciones básicas de seguridad.
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
