Nueva campaña de malware en Google Search Ads distribuye infostealer AMOS en dispositivos Mac

Una campaña maliciosa utiliza anuncios en Google para distribuir un infostealer en Macs, aprovechando plataformas legítimas y conversaciones públicas.

Investigadores de ciberseguridad han detectado una nueva campaña de malware que utiliza anuncios de Google Search para engañar a los usuarios y distribuir un infostealer llamado AMOS. La campaña aprovecha anuncios que dirigen a conversaciones públicas en plataformas como ChatGPT y Grok, las cuales contienen instrucciones maliciosas disfrazadas de útiles. Al seguir estas instrucciones y ejecutarlas en macOS, los usuarios pueden instalar inadvertidamente este malware en sus dispositivos.

La ofensiva comienza cuando los usuarios buscan términos relacionados con mantenimiento o solución de problemas en Mac, como «cómo limpiar datos en iMac» o «liberar espacio en Mac». Los anuncios llevan a conversaciones compartidas públicamente en plataformas legítimas de modelos de lenguaje, donde se presentan instrucciones aparentemente normales que, en realidad, contienen comandos maliciosos. Los investigadores de Huntress replicaron estos resultados y confirmaron que no se trata de un incidente aislado, sino de una campaña deliberada y amplia que apunta a consultas comunes de resolución de problemas.

Si el usuario ejecuta los comandos en Terminal, estos decodifican un script en base64 que muestra un cuadro de diálogo falso para solicitar la contraseña del sistema. Una vez introducida, el malware valida, almacena la contraseña y obtiene permisos privilegiados para descargar e instalar AMOS, un infostealer desarrollado como servicio (MaaS) en los últimos meses y que se alquila por alrededor de 1.000 dólares mensuales. Este malware fue detectado por primera vez en abril de 2023 y, además de robar datos, ahora incluye un módulo de backdoor que permite a los atacantes ejecutar comandos, registrar pulsaciones y desplegar cargas adicionales.

AMOS se instala en la carpeta oculta /Users/$USER/.helper y escanea el sistema en busca de aplicaciones relacionadas con billeteras de criptomonedas, como Ledger Wallet y Trezor Suite, a las que reemplaza por versiones troyanizadas que solicitan a las víctimas ingresar su frase semilla alegando motivos de seguridad. También recopila datos de navegadores, credenciales, contraseñas del keychain y archivos del sistema. Para persistir, utiliza un LaunchDaemon que lo mantiene en ejecución automáticamente, reiniciándose en menos de un segundo si se detiene.

Este tipo de ataque representa un nuevo ejemplo de cómo los ciberdelincuentes experimentan con plataformas legítimas y populares, como OpenAI y motores de búsqueda, para distribuir malware. Los expertos recomiendan extremar precauciones y no ejecutar comandos o instrucciones hallados en línea sin comprender completamente su finalidad. Incluso, una simple consulta adicional a ChatGPT para verificar la seguridad de las instrucciones puede revelar su carácter malicioso, ya que la inteligencia artificial suele advertir que no son seguras para ejecutar en los sistemas.