Infostealer AMOS will Cookies, Passwörter und Autofills. Und zwar von macOS
ID: 2122917

(PresseBox) - macOS-Geräte geraten immer mehr ins Visier von Cyberkriminellen – zuletzt fiel die Infostealer-Familie AMOS negativ auf, sie ist für mehr als 50 Prozent aller Attacken auf das Apple-Betriebssystem zuständig. Gerüchte deuten zudem darauf hin, dass die Kriminellen ihr Zielgebiet auch auf iOS erweitern wollen.
Seit Langem hält sich der Glaube, dass das macOS-Betriebssystem weniger anfällig für Schadsoftware ist als Windows. Das mag an der geringeren Marktdominanz liegen und verschiedenen eigenen Sicherheitsfeatures, die von den Malware-Entwicklern andere Ansätze verlangen. Man ging davon aus, dass hier nur unkonventionelle Attacken und Schadsoftware eine Chance hätten. Diese Annahme ist nun endlich passé.
Mainstream-Schadsoftware greift mittlerweile regelmäßig macOS-Systeme an – wenn auch nicht in dem Ausmaß wie Windows-Geräte. Infostealer sind hierfür ein Paradebeispiel: In den Sophos Telemetrieauswertungen sind sie für über 50 Prozent aller macOS-Auffälligkeiten in den letzten sechs Monaten verantwortlich, und: Atomic macOS Stealer (AMOS) ist eine der häufigsten Familien.
Cookies, Passwörter, Autofll-Dateien – AMOS schnappt sich alles
AMOS – zuerst von dem Sicherheitsunternehmen Cyble im April 2023 veröffentlicht – ist entwickelt worden, um sensible Daten von infizierten Maschinen zu stehlen, mit allem drum und dran: Cookies, Passwörter, Autofill-Daten und Inhalte Wallets mit Kryptowährungen. Die „Beute“ nutzt der Angreifer entweder für sich selbst, oder – das ist der wahrscheinlichere Fall – sie wird an einen anderen Akteur auf dem kriminellen Markt weiterverkauft.
Auf öffentlichen Kanälen des Telegram-Messengers wird AMOS angepriesen und verkauft. Im Mai 2023 noch für gut 900 Euro im Monat zu haben, muss man im Mai 2024 schon 2.715 Euro auf den Tisch legen. AMOS ist zwar nicht der einzige Akteur, MetaStealer, KeySteal und CherryPie konkurrieren, aber der prominenteste. Daher hat Sophos den ausführlichen Steckbrief Atomic macOS Stealer leads sensitive data theft on macOS zur Wirkung und Vorgehensweise von AMOS erstellt, um besser zur Abwehr gewappnet zu sein.
AMOS-Infektion via Malvertising oder SEO poisoning
In den Telemetriedaten von Sophos und anderen Analysten zeigt sich, dass viele Bedrohungsakteure ihre Opfer via Malvertising oder „SEO poisoning“ (Ausnutzen von Algorithmen für die Suchmaschinenplatzierung, um bösartige Websites an die Spitze der Suchergebnisse zu bringen) mit AMOS infizieren. Suchen unbedarfte Nutzer nach dem Namen einer bestimmten Software oder Funktionalität, erscheint die schadhafte Seite in den Suchergebnissen und bietet einen Download an. Die falsche Anwendung imitiert typischerweise die legitime App und installiert Malware auf dem Gerät. Zu den legitimen Anwendungen, die AMOS imitiert, gehören unter anderem Notion, Slack und Todoist (Produktivitäts), Trello (Projektmanagement) oder Arc (Internet-Browser).
Hat AMOS zukünftig auch iPhones im Visier?
AMOS-Händler haben kürzlich eine Anzeige geschaltet, in der sie behaupteten, dass eine neue Version der Malware iPhone-Nutzer ins Visier nehmen würde. Bisher haben die Sophos-Experten allerdings noch keine Exemplare in freier Wildbahn gesehen und können zum jetzigen Zeitpunkt nicht bestätigen, dass eine iOS-Version von AMOS im Umlauf ist.
Eine mögliche treibende Kraft hinter dieser Ankündigung ist der Digital Markets Act (DMA) der EU, nach dem Apple verpflichtet ist, ab iOS 17.4 in der EU ansässigen iPhone-Nutzern alternative App-Marktplätze zur Verfügung zu stellen. Entwicklern wird es auch gestattet sein, Apps direkt von ihrer Website aus zu verbreiten – was möglicherweise bedeutet, dass Bedrohungsakteure, die eine iOS-Version von AMOS verbreiten möchten, dieselben Malvertising-Techniken anwenden könnten, die sie derzeit verwenden, um macOS-Benutzer anzusprechen.
Wie kann man sich schützen?
Nutzer sollten auf jedem Gerät ausschließlich Software von legitimen Quellen mit guten Reputationen verwenden. Besondere Vorsicht gilt bei Pop-ups, die Passwörter oder erhöhte Privilegen erfragen.
Alle Diebe, die Sophos X-Ops identifizierte, waren nicht im offiziellen Apple Store und sind auch nicht von Apple kryptografisch verifiziert. Spätestens, wenn die Software Informationen wie Passwörter oder unerwünschten Datenzugriff fordert, sollten die Alarmglocken klingeln – besonders bei einer Anwendung von dritter Seite.
Standardmäßig speichern Browser verschlüsselte Autofill-Daten und den Schlüssel dafür an einem bestimmten Ort. Infostealer können auf infizierten Systemen beides leicht extrahieren. Eine Verschlüsselung basierend auf einem Master-Passwort oder Biometrie kann gegen diese Art von Angriff schützen.
Weitere Infos zu dieser Pressemeldung:
Unternehmensinformation / Kurzprofil:
Bereitgestellt von Benutzer: PresseBox
Datum: 10.09.2024 - 10:51 Uhr
Sprache: Deutsch
News-ID 2122917
Anzahl Zeichen: 5056
Kontakt-Informationen:
Ansprechpartner: Jörg SchindlerArno LüchtThilo ChristUlrike MasztalerzAriane Wendt
Stadt:
Wiesbaden
Telefon: +49 (721) 25516-263+49 (8081) 954619+49 (8081) 954
Kategorie:
New Media & Software
Diese Pressemitteilung wurde bisher 257 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Infostealer AMOS will Cookies, Passwörter und Autofills. Und zwar von macOS"
steht unter der journalistisch-redaktionellen Verantwortung von
Sophos Technology GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
Unternehmen in Deutschland, Österreich und der Schweiz stehen wie viele Organisationen weltweit vor der Herausforderung, eine wachsende Zahl an IT- und Cybersecurity-Vorgaben zu erfüllen. Eine aktuelle, von Sophos in Auftrag gegebene internationale Studie zeigt, wie stark regulatorische Anforderun
Entwickler-Tools als neue Angriffsfläche ...
Aktuelle Angriffe auf den Infrastruktur-Scanner Checkmarx KICS und den Kommandozeilen-Client von Bitwarden zeigen eine neue Qualität von Supply-Chain-Attacken. Die Angreifer verteilten trojanisierte Versionen über offizielle Kanäle wie npm, Docker Hub und GitHub Actions. Sie unterwanderten damit
Security-Blindspot: Wie Angreifer QEMU nutzen, um Erkennungssysteme zu umgehen ...
Sophos-Analysten untersuchen den aktiven Missbrauch von QEMU (Quick Emulator), einem Open-Source-Maschinenemulator und Virtualisierungs-Tool. Angreifer nutzen QEMU und weitere gängigere, auf Hypervisoren basierende Virtualisierungs-Tools, wie Hyper-V, VirtualBox und VMware, seit längerer Zeit. Gru
Weitere Mitteilungen von Sophos Technology GmbH
Arvato Systems begrüßt Akteure des Handels zum ersten Digital Commerce Day ...
br /> Arvato Systems lädt zum gemeinsamen Auftakt während diesjähriger DMEXCO-Woche in Köln ein Am 16. September 2024 dreht sich alles um aktuelle Trendthemen und Innovationen im digitalen Handel Arvato Systems lädt Expertinnen und Experten aus dem Handel zum erweiterten After Work Event in
PLS‘ UDE Universal Debug Engine ab sofort in GLIWA T1.timing integriert ...
GLIWA hat jetzt die UDE Universal Debug Engine von PLS Programmierbare Logik & Systeme direkt in T1.timing integriert. Damit können Anwender ab sofort das Zeitverhalten von elektronischen Steuergeräten (ECUs) auf der Basis von Timing-Informationen, die direkt von der realen Hardware gesammelt
Tripwires: Horizon3.ai mit neuem Sicherheitskonzept gegen Cyberattacken ...
- NodeZero Tripwires: Bei einem simulierten Angriff werden die Schwachstellen herausgefunden und genau dort digitale Stolperdrähte platziert, die bei einer echten Attacke Alarm schlagen. - Einzigartig: Ein Frühwarnsystem für Firmennetze anhand der Ergebnisse von Penetrationstests. - Dennis Weye
Neousys stellt robuste NVIDIA® Jetson AGX Orin™-Computer für Geländefahrzeuge und Edge-KI-Anwendungen im Straßenverkehr vor, die entsprechend IP66 was ...
Neousys Technology, ein branchenführender Anbieter von robusten Embedded-Systemen, hat heute eine Erweiterung seiner robusten Jetson-Produktlinie angekündigt, nämlich die Baureihen NRU-230V-AWP und NRU-240S-AWP. Diese innovativen Systeme bieten Wasserdichte entsprechend IP66 zu einem günstigen P




