¿Por qué es importante AMOS? El malware de macOS que roba datos a gran escala

Los equipos de Detección y Respuesta Gestionadas (MDR) de Sophos respondieron recientemente a un incidente relacionado con una infección por un infostealer en un host macOS. Al investigar, los equipos descubrieron que parecía ser una variante de AMOS (Atomic macOS), una conocida familia de malware.

El ataque comenzó con una artimaña al estilo ClickFix, en la que se engañó a un usuario para que ejecutara un comando de terminal. No es la primera vez que entra en escena esta técnica de ingeniería social utilizada junto con los infostealers de macOS; en marzo de este año, Sophos informó sobre múltiples variantes del stealer MacSync que adoptaban el mismo enfoque.

AMOS es una amenaza importante; representó casi el 40% de las actualizaciones de Sophos en protección para macOS en 2025 (más del doble que cualquier otra familia de malware para dicho sistema) y casi la mitad de los informes de clientes sobre ladrones de datos para macOS en los últimos tres meses.

Como parte de una oferta de malware como servicio (MaaS), está optimizado para robar datos, credenciales de navegador, cookies, información de autocompletar y otra data de gran valor (como información de carteras de criptomonedas), lo que permite la rápida apropiación de cuentas y ataques posteriores. Se ha detectado en informes públicos desde al menos abril de 2023.

Más recientemente, en agosto de 2025, CrowdStrike informó de una campaña que involucraba una variante de AMOS denominada «SHAMOS». En diciembre de 2025, Huntress señaló incidentes relacionados con la distribución de AMOS a través de resultados de búsqueda infectados relacionados con conversaciones de ChatGPT/Grok, y en febrero de 2026 Microsoft lo mencionó dentro del contexto más amplio de los infostealers que se expanden a macOS y abusan de plataformas y utilidades de confianza para su distribución.

Como señalan muchos informes anteriores, y tal y como ocurrió en el caso recientemente investigado por Sophos, las campañas de AMOS suelen basarse en la ingeniería social más que en cadenas de exploits. En algunos casos, los actores maliciosos utilizan instaladores falsos o señuelos de «aplicaciones crackeadas», aunque ClickFix parece ser un vector de infección cada vez más destacado. Más recientemente, Sophos ha informado del uso de señuelos relacionados con modelos de IA.

Un comportamiento recurrente señalado por los defensores es la repetida solicitud de contraseña hasta que la víctima proporciona su password de macOS, que luego se utiliza para realizar acciones con privilegios.

1. La ingeniería social persuade al usuario para que ejecute un comando en Terminal
2. Se descarga y ejecuta el script de arranque de la primera fase
3. El malware captura y valida la contraseña de macOS del usuario
4. Se recupera la carga útil de la segunda fase y se ejecuta con privilegios elevados
5. Las rutinas anti-análisis detectan entornos virtualizados
6. El malware recopila una gran cantidad de datos del usuario y del sistema
7. Los datos robados se archivan y se preparan para su exfiltración
8. Los datos se envían a la infraestructura del atacante
9. Se establece la persistencia mediante LaunchDaemon
10. El sistema se registra en el servidor de comando y control (C2)

El malware convencional afecta ahora con regularidad a los usuarios de macOS, especialmente en lo que respecta a los ladrones de información, que suelen representar una parte significativa de todas las detecciones de macOS en la telemetría.

AMOS, en particular, sigue siendo una preocupación importante. Al igual que muchos de su clase, su uso de la ingeniería social para eludir los controles de seguridad lo convierte en una amenaza potente. Los señuelos específicos que usan los autores de amenazas siguen adaptándose en respuesta a las tendencias sociales y del sector tecnológico.

Sophos continuará vigilando e investigando las infecciones por ladrones de información en macOS, actualizando la información sobre protección y detección según sea necesario, y publicando investigaciones sobre esta área del panorama de amenazas en rápida evolución a medida que disponga de datos.