# Atomic Stealer (AMOS) > [!high] Infostealer MaaS (Malware-as-a-Service) para macOS, surgido em abril de 2023, que rouba credenciais do Keychain, dados de browsers, carteiras cripto e outros dados sensiveis. Tornou-se um dos malwares mais ativos para Apple com presenca em mais de 120 paises em 2025. ## Visão Geral O Atomic macOS Stealer (AMOS) emergiu em abril de 2023 como uma das ameaças mais significativas para sistemas Apple, quebrando o mito histórico de que macOS era imune a malwares sofisticados. Desenvolvido inicialmente como projeto em ChatGPT (segundo pesquisadores), rapidamente evoluiu para um produto comercial de Malware-as-a-Service (MaaS) vendido por US$ 1.000 a US$ 3.000 por mês via canal dedicado no Telegram. O AMOS é atribuído a um ator de ameaça com alias **Ping3r**, com evidências de origem em redes criminosas de língua russa - a infraestrutura inicial estava vinculada ao Leste Europeu e o malware foi comercializado em fóruns de cibercrime em russo. O stealer representa mais de 50% de todas as detecções de malware macOS em alguns períodos de 2024, segundo a Sophos. A relevância para o Brasil e LATAM é crescente: o AMOS é um MaaS distribuído globalmente por afiliados que escolhem seus próprios alvos. O roubo de credenciais de plataformas de banking, carteiras de criptomoedas e dados corporativos afeta usuários de Mac em qualquer região. Com o crescimento do uso de dispositivos Apple em ambientes corporativos brasileiros, o AMOS representa uma ameaça emergente para o setor financeiro e tecnológico regional. ## Capacidades O AMOS foi projetado para roubo amplo de dados sensíveis em macOS: ```mermaid graph TB A["🎯 Entrega<br/>Malvertising, SEO poisoning<br/>Apps crackeados, ClickFix"] --> B["🍎 Execução em macOS<br/>DMG malicioso ou<br/>comando colado no Terminal"] B --> C["🔐 Roubo de Credenciais<br/>AppleScript fake dialog<br/>para obter senha do sistema"] C --> D["🗝️ Acesso ao Keychain<br/>Chainbreaker tool<br/>extrai senhas armazenadas"] D --> E["🌐 Dados de Browsers<br/>Cookies, logins, autofill<br/>Chrome, Safari, Firefox, Brave"] E --> F["💰 Carteiras Cripto<br/>Electrum, Binance, Exodus<br/>Coinomi e mais de 50 wallets"] F --> G["📤 Exfiltração via C2<br/>ZIP comprimido enviado<br/>por HTTP POST para servidor"] ``` ## Alvos de Roubo | Categoria | O que é roubado | |-----------|----------------| | Keychain macOS | Todas as senhas armazenadas no Keychain | | iCloud Keychain | Senhas sincronizadas pelo iCloud | | Browsers | Cookies, logins, autofill, dados de sessão | | Carteiras cripto | Ledger, Coinomi, Exodus, Atomic, Binance, Electrum | | Extensões de browser | Mais de 50 extensões crypto-relacionadas | | Apple Notes | Dados do banco de dados NoteStore.sqlite | | Arquivos | Desktop, Documents (por extensão e tamanho) | | Perfil do sistema | Hardware, usuário, OS version via system_profiler | | Telegram | Dados da aplicação Telegram | | OpenVPN | Perfis de VPN | ## Evolução e Variantes O AMOS evoluiu rapidamente desde 2023, gerando variantes e concorrentes: ```mermaid timeline title Evolução do AMOS e Variantes 2023-04 : AMOS original aparece no Telegram por 1000 USD mes 2023-05 : Variante B identificada - alvos de jogos e crypto 2024 : Poseidon Stealer surge como rival atribuido a Rodrigo 2024 : Banshee e Cthulhu surgem como variantes competidoras 2024-09 : Ofuscação avancada em novas versoes 2025-03 : Ressurgimento com técnica ClickFix paste-and-run 2025-07 : AMOS ganha backdoor persistente via LaunchDaemon ``` ## TTPs Principais | Fase | Técnica MITRE | Descrição | |------|--------------|-----------| | Acesso Inicial | [[T1566-phishing\|T1566]] | Malvertising, SEO poisoning, apps crackeados | | Acesso Inicial | [[T1204-user-execution\|T1204]] | Usuário executado a instalar DMG malicioso | | Execução | [[T1059-command-and-scripting-interpreter\|T1059.002]] | AppleScript (osascript) para dialogs falsos | | Coleta | [[T1555-credentials-from-password-stores\|T1555.001]] | Keychain e iCloud Keychain | | Coleta | [[T1539-steal-web-session-cookie\|T1539]] | Cookies e sessoes de browser | | Coleta | [[T1005-data-from-local-system\|T1005]] | Arquivos do sistema local | | Evasão | - | Verificação de sandbox (username maria, jackiemac) | | Evasão | - | Execução apenas em ARM (Apple Silicon) para escapar de sandboxes Intel | | Persistência | - | LaunchDaemon com com.finder.helper.plist (variantes 2025) | | Exfiltração | [[T1041-exfiltration-over-c2-channel\|T1041]] | ZIP enviado via HTTP POST para C2 | ## Métodos de Entrega em Evolução O AMOS adaptou seus métodos de entrega em resposta às melhorias de segurança da Apple: 1. **Fase 1 (2023)** - DMG maliciosos via malvertising e sites de apps crackeados. Instrucoes para contornar o Gatekeeper (right-click "Open"). 2. **Fase 2 (2024)** - Expansao para apps corporativos falsos (Zoom, Notion, VPN tools), targeting de usuarios enterprise. 3. **Fase 3 (2025)** - **ClickFix / Paste-and-Run**: usuário e instruído a copiar e colar comandos no Terminal macOS, sem arquivo malicioso baixado, bypassando Gatekeeper. ## Detecção e Defesa ### Mitigações Prioritárias 1. **Manter macOS atualizado** - Sequoia 15+ bloqueia DMGs não notarizados por padrão 2. **Nunca colar comandos no Terminal** vindos de sites, prompts de AI ou pop-ups 3. **Habilitar o Gatekeeper** e não contornar avisos de segurança da Apple 4. **Monitorar processos** osascript com dialogos de sistema 5. **Detectar** cópia de arquivos Keychain e NoteStore.sqlite por processos suspeitos 6. **Usar EDR para macOS** capaz de detectar comportamentos de coleta de credenciais ### Indicadores de Comprometimento > [!ioc]- IOCs - Atomic Stealer AMOS (TLP:GREEN) > **Arquivo de exfiltração:** > `out.zip` (arquivo ZIP enviado para C2) > > **Arquivo de persistência:** > `com.finder.helper.plist` (LaunchDaemon - variantes 2025) > > **Processo suspeito:** > `osascript` exibindo dialogs de sistema solicitando senha > > **Comandos de coleta:** > `cp ~/Library/Keychains ~/Documents/data/Keychain/kc.db` > `system_profiler SPHardwareDataType` > > **Fontes:** [Sophos - AMOS Analysis (2024)](https://news.sophos.com/en-us/2024/09/06/atomic-macos-stealer-leads-sensitive-data-theft-on-macos/) · [SentinelOne - AMOS Variants 2024](https://www.sentinelone.com/blog/from-amos-to-poseidon-a-soc-teams-guide-to-detecting-macos-atomic-stealers-2024/) ## Referências - [Sophos - Atomic macOS Stealer leads sensitive data theft (2024)](https://news.sophos.com/en-us/2024/09/06/atomic-macos-stealer-leads-sensitive-data-theft-on-macos/) - [Picus Security - Atomic Stealer AMOS Analysis (2025)](https://www.picussecurity.com/resource/blog/atomic-stealer-amos-macos-threat-analysis) - [SentinelOne - From AMOS to Poseidon (2024)](https://www.sentinelone.com/blog/from-amos-to-poseidon-a-soc-teams-guide-to-detecting-macos-atomic-stealers-2024/) - [Red Canary - Distinguishing Atomic, Odyssey, Poseidon stealers (2025)](https://redcanary.com/blog/threat-intelligence/atomic-odyssey-poseidon-stealers/) - [Darktrace - Atomic Stealer Investigation](https://www.darktrace.com/blog/atomic-stealer-darktraces-investigation-of-a-growing-macos-threat)