Una sofisticada campaña malvertida que buscó desplegar una variante de Atomic MacOS Stealer (AMOS) ha apuntado a cientos de organizaciones. Entre junio y agosto de 2025, la campaña vio a las víctimas desviadas a los sitios web de ayuda fraudulenta macOS y los alentó a ejecutar un comando de instalación de una línea maliciosa. El objetivo era que las víctimas se infectaran en última instancia con la variante Shamos del Infente de AMOS, que fue desarrollado por Malware-As-A-Service (MaaS) Group Cookie Spider. Durante este período, CrowdStrike dijo que bloqueó la campaña de malvertimiento para intentar comprometer más de 300 de sus entornos de clientes. «Esta campaña subraya la popularidad de los comandos de instalación de una línea maliciosa entre los actores de Ecrimime», dijo CrowdStrike en un blog reciente. Esta técnica permite que los ciberdelincuentes omitan las verificaciones de seguridad de Gatekeeper e instale el ejecutable Mach-O (un formato binario utilizado principalmente por MacOS) directamente en dispositivos de víctimas. Los operadores de Cuckoo Stealer y Shamos han aprovechado previamente este método en campañas de malvertición de cerveza casera que ocurrieron entre mayo de 2024 y enero de 2025. CrowdStrike señaló que el sitio malvertido apareció en los buscadores de Google en ubicaciones como el Reino Unido, el Reino Unido, Japón, China, Colombia, Canadá, México, Italia y otros. El análisis de la firma dijo que no se ubicaron víctimas en Rusia. «Esto probablemente se deba al hecho de que los foros de Ecrimime rusos prohíben que los operadores de malware de productos básicos apunten a usuarios con sede en Rusia», dijo la compañía. Los sitios web de ayuda de MacOS fraudulentos dieron instrucciones falsas sobre cómo los usuarios podrían solucionar sus problemas. Sin embargo, las páginas instruyen a las víctimas a copiar, pasar y ejecutar un comando de instalación de una línea maliciosa que decide la cadena de base base64. Esto luego descarga un archivo de https[:]// icloudservers[.]com/gm/install[.]mierda Este archivo es un script bash que captura la contraseña del usuario y descarga un ejecutable de Shamos Mach-O de HTTPS[:]// icloudservers[.]com/gm/actualización. Desde que informó por primera vez sobre este tipo de campaña en junio de 2025, las operaciones adversas de CrowdStrike Counter dijeron que ha seguido observando a los actores de amenaza de Ecrimime oportunistas que aprovechan los repositorios maliciosos de GitHub para impulsar a las víctimas a ejecutar comandos que descargan Shamos. CrowdStrike’s Counter Adversary Operations ha evaluado con altos confidentes de que es probable que los actores de ECROME continúen aprovechando los comandos de malvertimiento de una línea y una línea para distribuir los robadores de información de MacOS.