Atomic macOS Stealer, atau yang lebih dikenal sebagai AMOS, jadi ancaman serius bagi keamanan perangkat Apple. Kelemahannya adalah ia tidak memerlukan kerentanan berbahaya untuk dapat menginfeksi macOS. Yang bikin hackers tertarik adalah betapa mudahnya mereka bisa mengeksploitasi perilaku pengguna sehari-hari. Caranya? Menggoda pengguna untuk mengetik kode berbahaya langsung di aplikasi Terminal.
Baru-baru ini, tim Sophos MDR melakukan investigasi dan menemukan pola serupa di serangan ini. Mereka mencatat bahwa ada tipuan bertipe ClickFix yang membuat korban secara sukarela menjalankan baris kode jahat. Itu memang trik psikologis yang cukup licik, dan sudah teramati dalam beberapa kampanye pencurian informasi di macOS sejak 2025 dan awal 2026.
AMOS mengakibatkan hampir 40% dari semua update keamanan macOS yang dikeluarkan oleh Sophos pada tahun 2025. Angka ini lebih dari dua kali lipat dibandingkan keluarga malware lainnya selama periode yang sama. Menariknya, hampir setengah dari laporan pencurian informasi di macOS dalam tiga bulan terakhir melibatkan AMOS atau varian terdekatnya. Perusahaan keamanan sudah melacak operasi malware-as-a-service ini sejak April 2023, dengan variasi yang dikenal sebagai SHAMOS dilaporkan oleh CrowdStrike pada Agustus 2025.
AMOS: Manipulasi Psikologis Lebih Menonjol Daripada Eksploitasi Teknis
Strategi ini makin menjamur, dan para peneliti menyaksikan teknik rekayasa sosial yang sama dalam beberapa kampanye infostealer di macOS. Langkah-langkah ini bukanlah hal baru; selama dua dekade terakhir, infostealer telah banyak menyerang sistem Windows. Namun, yang membedakan AMOS adalah ketergantungan pada izin pengguna — seseorang harus dengan sengaja menyalin dan menjalankan perintah di Terminal. Itulah kenapa pengguna yang paham teknologi mungkin bisa dengan mudah menghindarinya.
Ada juga fakta menarik bahwa meskipun AMOS cukup menakutkan, Apple terus berupaya meningkatkan fitur keamanan seperti Gatekeeper, XProtect, dan persyaratan notarization. Ini bisa membuat AMOS jadi kurang efektif setelah beberapa pembaruan sistem operasi. Namun, bahaya sesungguhnya mungkin terletak pada kenyataan bahwa tidak ada platform yang benar-benar aman dari pengguna yang mengabaikan peringatan keamanan dasar.
Bagaimana Malware Ini Mengumpulkan Kata Sandi dan Data?
Pada tahap awal, setelah perintah Terminal dieksekusi, AMOS langsung meminta kata sandi sistem macOS pengguna. Kode berbahaya ini kemudian memvalidasi kredensial tersebut dengan menjalankan perintah sederhana sebelum menyimpannya dalam file tersembunyi bernama .pass di direktori home pengguna.
Setelah mendapatkan kata sandi, AMOS akan mendownload beban sekunder yang diatur untuk menghapus atribut ekstensi guna menghindari peringatan keamanan macOS. Malware ini juga memeriksa apakah ia dijalankan di dalam mesin virtual atau lingkungan sandbox dengan memeriksa data system_profiler untuk indikator seperti QEMU, VMware, atau KVM.
Selanjutnya, AMOS tidak segan-segan mengumpulkan data sensitif yang ekstensif, termasuk database Keychain macOS, kredensial dari Firefox dan Chrome, serta token sesi lokal. Beberapa varian bahkan memasang aplikasi palsu seperti Ledger Wallet dan Trezor Suite untuk mencuri informasi dompet cryptocurrency.
Setelah semua data dikumpulkan, file-file tersebut dikompresi menjadi satu arsip menggunakan utilitas ditto, lalu dikirim ke server yang dikendalikan oleh penyerang melalui permintaan curl POST. Agar tetap dapat diakses dalam jangka waktu panjang, AMOS juga menginstal LaunchDaemon yang memastikan eksekusi otomatis setelah setiap reboot sistem.
Melihat betapa seriusnya ancaman AMOS, penting untuk tetap waspada. Pengguna yang sadar akan keamanan akan lebih mampu melindungi diri mereka sendiri dengan memahami trenches dari serangan ini. Namun, ini juga mengingatkan kita bahwa tidak ada platform yang benar-benar kebal terhadap ulah pengguna yang abai oleh keamanan.
