Como remover o malware do tipo ladrão AMOS (Atomic) do seu sistema operativo

Que tipo de malware é AMOS (Atomic)?

AMOS (Atomic) stealer, é um programa malicioso que tem como alvo Mac OSes (Sistemas Operativos). É classificado como um ladrão - um tipo de malware que extrai e exfiltra informações de dispositivos infectados. No momento da redacção deste artigo, o AMOS é vendido activamente no Telegram.

Visão geral do malware AMOS (Atomic)

Assim que executámos uma amostra do AMOS stealer na nossa máquina de teste, este exibiu uma janela pop-up falsa a requisitar acesso às Preferências do Sistema e a pedir ao utilizador para introduzir a sua palavra-passe. Com esta técnica de engenharia social, o malware adquire o seu primeiro bit de informação (ou seja, a palavra-passe do sistema).

Em seguida, este ladrão começa a recolher dados relevantes do dispositivo, por exemplo, o nome do modelo do Mac, UUID, CPU, RAM, versão do SO, etc. O AMOS pode obter uma grande variedade de informações de dispositivos comprometidos. Este malware pede permissão para aceder ao ambiente de trabalho e aos documentos, a partir dos quais pode descarregar os ficheiros das vítimas.

O ladrão também pode extrair dados do sistema Keychain - o sistema de gestão de palavras-passe do Mac. O sistema Keychain pode ser utilizado para armazenar credenciais Wi-Fi, nomes de utilizador/palavras-passe de sites e FTP, detalhes de cartões de crédito, etc.

O AMOS também rouba informações dos navegadores, incluindo o Google Chrome, Mozilla Firefox, Microsoft Edge e outros (lista completa). A partir dos navegadores, este malware pode adquirir dados de navegação, cookies da Internet, preenchimentos automáticos, credenciais de início de sessão (ou seja, IDs, nomes de utilizador, endereços de email, palavras-passe, frases-passe, etc.), números de cartões de crédito e assim por diante.

Este ladrão também tem como alvo criptomoedas e extensões de navegador relacionadas com criptomoedas (lista completa). Por exemplo, o AMOS pode aplicar forçadamente sementes de MetaMask e chaves privadas.

Em suma, a presença de software como o Zaraza em dispositivos pode resultar em graves problemas de privacidade, perdas financeiras significativas, e roubo de identidade.

Se suspeitar que o seu Mac está infectado com o ladrão AMOS (ou outro malware) - utilize imediatamente um antivírus para o eliminar sem demora.

Malware em geral

Analisámos vários programas maliciosos; RustBucket, MacStealer, KEYSTEAL, e GIMMICK são apenas alguns exemplos de malware que visa os SOs do Mac.

Na maioria dos casos, o software malicioso é utilizado para gerar rendimentos - no entanto, a forma como atinge o objectivo pode variar drasticamente. O software malicioso pode ter uma vasta gama de funcionalidades, que podem estar em diferentes combinações.

Independentemente da forma como este software funciona - a sua presença num sistema põe em risco a integridade do dispositivo e a segurança do utilizador. Por isso, aconselhamos veementemente a remoção de todas as ameaças imediatamente após a sua detecção.

Como é que o malware AMOS se infiltrou no meu computador?

O ladrão AMOS é vendido no Telegram; assim, a forma como é distribuído depende dos criminosos cibernéticos que o utilizavam na altura. Geralmente, o malware é proliferado através de técnicas de phishing e engenharia social.

O software malicioso está normalmente disfarçado ou incluído em programas/meios de comunicação normais. Quando um ficheiro infeccioso é executado ou aberto - a cadeia de infecção (ou seja, descarregamento/instalação de malware) é desencadeada.

Os métodos de distribuição mais utilizados incluem: descarregamentos "drive-by" (furtivos/fraudulentos), anexos e ligações maliciosos em emails de spam (por exemplo, emails, PMs/DMs, SMSs, etc.), fraudes online, fontes de descarregamento questionáveis (por exemplo, freeware e sites de terceiros, redes de partilha Peer-to-Peer, etc.), malvertising, ferramentas ilegais de activação de software ("cracking") e actualizações falsas.

Como evitar a instalação de malware?

Recomendamos veementemente que se descarregue apenas dos canais oficiais e verificados. Além disso, todos os programas devem ser activados e actualizados utilizando funções/ferramentas legítimas, uma vez que as ferramentas de activação ilegais ("cracks") e as actualizações de terceiros podem conter malware.

Outra recomendação é tratar os emails e outras mensagens recebidas com precaução. Os anexos ou ligações encontrados em emails suspeitos/irrelevantes não devem ser abertos, pois podem ser virulentos. Aconselhamos a vigilância durante a navegação, uma vez que os conteúdos falsos e maliciosos online parecem normalmente normais e inócuos.

É fundamental ter um antivírus de boa reputação instalado e mantido actualizado. O software de segurança deve ser utilizado para efectuar verificações regulares do sistema e para remover as ameaças detectadas. Se o seu computador já estiver infectado, recomendamos a execução de uma verificação com Combo Cleaner Antivirus para Windows para eliminar automaticamente as ameaças.

Screenshot do ladrão AMOS disfarçado de aplicação CardGame:

Malware ladrão AMOS vendido no Telegram:

Lista de navegadoresvisado pelo ladrão AMOS:

• Google Chrome
• Mozilla Firefox
• Microsoft Edge
• Opera
• OperaGX
• Brave
• Vivaldi
• Yandex

Lista de carteiras de criptomoedas e extensões visadas pelo ladrão AMOSe extensões visadas pelo ladrão AMOS:

Atomic, Binance, Coinomi, Electrum, Exodus, Auro, BinanceChain, Byone, CLW, Coin98 Wallet, Coinbase, CWallet, Cyano, Crypto Airdrops & Bounties, DAppPlay, EVER Wallet, Exodus Web3 Wallet, Finnie, Flint Wallet, Freaks Axie, Guarda, Harmony Wallet, Hycon Lite Client, ICONex, iWallet, Jaxx Liberty, KardiaChain, Keplr, KHC, LeafWallet, Liquality, Martian Wallet for Sui & Aptos, Math Wallet, MetaMask, MewCx, Nabox, NeoLine, Oasis, Oxygen, Phantom, Polymesh, Rabby Wallet, Ronin, Slope, Starcoin, Station Wallet, Swash, Temple Wallet, TezBox, TON, Trezor Password Manager, TronLink, Tron Explorer, Trust Wallet, Wombat, XDCPay, XDEFI, Yoroi, ZilPay.

Remoção automática instantânea do malware:

A remoção manual de ameaças pode ser um processo moroso e complicado que requer conhecimentos informáticos avançados. O Combo Cleaner é uma ferramenta profissional de remoção automática do malware que é recomendada para se livrar do malware. Descarregue-a clicando no botão abaixo:

Ao descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por RCS LT, a empresa-mãe de PCRisk.

Menu rápido:

• O que é "AMOS"?
• PASSO 1. Remova as APIs relacionadas do OSX.
• PASSO 2. Remova as extensões maliciosas do Safari.
• PASSO 3. Remova os add-ons fraudulentos do Google Chrome.
• PASSO 4. Remova os plug-ins indesejados do Mozilla Firefox.

O vídeo demonstra como remover adware e sequestradores de navegador de um computador Mac:

Remoção das aplicações potencialmente indesejadas:

Remova as aplicações potencialmente indesejadas da pasta "Aplicações":

Clique no ícone Finder. Na janela do Finder, seleccione "Aplicações". Na pasta aplicações, procure por "MPlayerX", "NicePlayer", ou outras aplicações suspeitas e arraste-as para a Reciclagem. Após remover a(s) aplicação(s) potencialmente indesejada(s) que causam anúncios online, verifique o seu por Mac qualquer componente indesejado restante.

Remova os ficheiros e pastas relacionados a malware amos (atomic):

Clique no ícone do Finder, no menu de barras. Escolha Ir, e clique em Ir para Pasta...

Verifique por ficheiros gerados por adware na pasta /Library/LaunchAgents:

Na pasta Ir para...barra, tipo: /Library/LaunchAgents

Na pasta "LaunchAgents", procure por ficheiros adicionados recentemente suspeitos e mova-os para a Reciclagem. Exemplos de ficheiros gerados pelo adware - “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. Comumente o adware instala vários ficheiros no mesmo string.

Verifique para adware gerado por ficheiros na pasta /Library/Application Support:

Na pasta Ir para...barra, tipo: /Library/Application Support

Na pasta "Application Support", procure qualquer pasta suspeita recém-adicionada. Por exemplo, "MPlayerX" ou tese "NicePlayer" e mova as pastas para a Reciclagem.

Verifique por ficheiros gerados por adware na pasta ~/Library/LaunchAgents:

Na barra Ir para Pasta, escreva: ~/Library/LaunchAgents

Na pasta "LaunchAgents", procure por ficheiros adicionados recentemente suspeitos e mova-os para a Reciclagem. Exemplos de ficheiros gerados pelo adware - “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. Comumente o adware instala vários ficheiros no mesmo string.

Verifique por ficheiros gerados por adware na pasta /Library/LaunchDaemons:

Na pasta Ir para...barra, tipo: /Library/LaunchDaemons

Na pasta "LaunchDaemons", procure qualquer ficheiro suspeito recém-adicionado. Por exemplo “com.aoudad.net-preferences.plist”, “com.myppes.net-preferences.plist”, "com.kuklorest.net-preferences.plist”, “com.avickUpd.plist”, etc., e mova-os para a Reciclagem.

 Verifique o seu Mac com o Combo Cleaner:

Se seguiu todas as etapas na ordem correta, o Mac deve estar livre de infecções. Para ter certeza de que seu sistema não está infectado, execute uma verificação com o Combo Cleaner Antivirus. Descarregue-o AQUI. Depois de descarregar o ficheiro, clique duas vezes no instalador combocleaner.dmg, na janela aberta, arraste e solte o ícone Combo Cleaner no topo do ícone Applications. Agora abra a sua barra de lançamento e clique no ícone Combo Cleaner. Aguarde até que o Combo Cleaner atualize seu banco de dados de definições de vírus e clique no botão "Start Combo Scan".

O Combo Cleaner irá analisar o seu Mac em pesquisa de infecções por malware. Se a verificação antivírus exibir "nenhuma ameaça encontrada", isso significa que pode continuar com o guia de remoção, caso contrário, é recomendável remover todas as infecções encontradas antes de continuar.

Depois de remover os ficheiros e pastas gerados pelo adware, continue a remover extensões fraudulentas dos seus navegadores de Internet.

Remoção do malware amos (atomic) dos navegadores de Internet:

Remova extensões fraudulentas do Safari:

Remova malware amos (atomic) as extensões relacionada ao Safari:

Abra o navegador Safari, a partir do menu de barra, selecione "Safari" e clique em "Preferências ...".

Na janela de preferências, selecione "Extensões" e procure por qualquer extensão suspeita recém-instalada. Quando localizada clique no botão "Desinstalar" ao lado dela/delas. Note que pode desinstalar seguramente todas as extensões do seu navegador Safari - não são cruciais para o funcionamento normal do navegador.

• Se continuar a ter problemas com redirecionamentos de navegador e anúncios indesejados - Restaure o Safari.

Remova os plugins fraudulentos do Mozilla Firefox:

Remova malware amos (atomic) add-ons relacionados ao Mozilla Firefox:

Abra o navegador Mozilla Firefox. No canto superior direito do ecrã, clique no botão "Abrir Menu" (três linhas horizontais). No menu aberto, escolha "Add-ons".

Escolha o separador "Extensões" e procure os complementos suspeitos recém-instalados. Quando localizado clique no botão "Desinstalar" ao lado dele/deles. Note que pode desinstalar seguramente todas as extensões do seu navegador Mozilla Firefox - não são cruciais para o funcionamento normal do navegador.

Se continuar a ter problemas com redirecionamentos de navegador e anúncios indesejados - Restaure o Mozilla Firefox.

Remova as extensões fraudulentas do Google Chrome:

Remova malware amos (atomic) add-ons relacionados ao Google Chrome:

Abra o Google Chrome e clique no botão "menu Chrome" (três linhas horizontais), localizado no canto superior direito da janela do navegador. A partir do menu flutuante, escolha "Mais Ferramentas" e selecione "Extensões".

Escolha a janela "Extensões" e procure os add-ons suspeitos recém-instalados. Quando localizado clique no botão "Reciclagem" ao lado dele/deles. Note que pode desinstalar seguramente todas as extensões do seu navegador Google Chrome - não são cruciais para o funcionamento normal do navegador.

Se continuar a ter problemas com redirecionamentos de navegador e anúncios indesejados - Restaure o Google Chrome.

Perguntas Frequentes (FAQ)

O meu computador está infectado com o malware AMOS, devo formatar o meu dispositivo de armazenamento para me livrar dele?

A maioria dos programas maliciosos pode ser removida sem formatação.

Quais são os maiores problemas que o malware AMOS pode causar?

As ameaças colocadas pelo malware dependem das suas capacidades e dos objectivos dos criminosos cibernéticos. O AMOS é um ladrão - um tipo de programa concebido para extrair e exfiltrar informações de sistemas infectados. Normalmente, as infecções deste tipo podem levar a graves problemas de privacidade, perdas financeiras e roubo de identidade.

Qual é o objetivo do malware AMOS?

Na maioria dos casos, o malware é utilizado com fins lucrativos. No entanto, este software também pode ser utilizado para diversão dos criminosos cibernéticos ou para perturbar processos (por exemplo, sites, serviços, empresas, etc.). Além disso, os ataques de malware podem ser motivados por vinganças pessoais ou por razões políticas/geopolíticas.

Como é que o malware AMOS se infiltrou no meu computador?

O malware dissemina-se principalmente através de descarregamentos automáticos, canais de descarregamento questionáveis (por exemplo, sites de alojamento de ficheiros gratuitos e de freeware, redes de partilha P2P, etc.), emails e mensagens de spam, fraudes online, malvertising, ferramentas ilegais de activação de programas ("cracks") e actualizações falsas. Além disso, alguns programas maliciosos podem auto-proliferar-se através de redes locais e dispositivos de armazenamento amovíveis (por exemplo, discos rígidos externos, unidades flash USB, etc.).

O Combo Cleaner vai proteger-me contra o malware?

Sim, o Combo Cleaner foi concebido para detectar e eliminar ameaças. É capaz de remover praticamente todas as infecções de malware conhecidas. Note que é essencial efectuar uma verificação completa do sistema, uma vez que o software malicioso sofisticado normalmente oculta-se nas profundezas dos sistemas.