Atomic macOS Stealer (AMOS) menjadi ancaman keamanan di sistem macOS. Virus ini menarik perhatian karena tidak memerlukan kerentanan baru untuk menyerang perangkat Apple. Alih-alih, AMOS memanfaatkan perilaku pengguna yang biasa dengan cara menipu mereka agar mengetikkan satu perintah di aplikasi Terminal mereka sendiri.
Sebuah insiden terbaru yang diteliti oleh tim Sophos MDR menunjukkan pola ini. Dalam kasus tersebut, penipuan gaya ClickFix berhasil meyakinkan korban untuk menjalankan kode jahat secara manual. Taktik manipulasi psikologis ini semakin sering terlihat, menjadikannya salah satu metode yang paling umum digunakan dalam kampanye pencurian informasi di macOS sepanjang 2025 dan awal 2026.
AMOS menyumbang hampir 40% dari semua pembaruan perlindungan macOS yang dijalankan oleh Sophos pada tahun 2025, lebih dari dua kali lipat tingkat deteksi malware macOS lainnya dalam periode yang sama. Bahkan, hampir setengah dari laporan pengguna tentang stealer macOS dalam tiga bulan terakhir melibatkan AMOS atau variannya yang dekat.
Perusahaan keamanan telah melacak operasi malware-as-a-service ini sejak April 2023. Di antara kampanye yang terkenal, ada varian yang disebut SHAMOS yang dilaporkan oleh CrowdStrike pada Agustus 2025. Pada bulan Desember 2025, Huntress mencatat infeksi yang menyebar melalui hasil pencarian yang teracuni, berkaitan dengan ChatGPT dan Grok.
Begitu perintah Terminal dijalankan, malware ini segera meminta kata sandi sistem macOS dari pengguna. Kode jahat tersebut kemudian memvalidasi kredensial ini secara lokal dengan menggunakan perintah layanan direktori sederhana sebelum menyimpannya di file tersembunyi bernama .pass di dalam direktori utama pengguna. Setelah kata sandi aman, AMOS akan mengunduh payload sekunder yang menghapus atribut tambahan untuk menghindari peringatan keamanan macOS.
Stealer ini juga memeriksa apakah melakukannya dalam lingkungan mesin virtual atau sandbox dengan menanyakan data system_profiler untuk indikator seperti QEMU, VMware, atau KVM. Selanjutnya, malware ini mulai mengumpulkan berbagai informasi sensitif, termasuk database Keychain macOS, kredensial browser dari Firefox dan Chrome, file penyimpanan ekstensi, serta token sesi lokal. Beberapa variannya bahkan menginstal aplikasi palsu seperti Ledger Wallet dan Trezor Suite untuk mencuri benih dompet cryptocurrency dan kredensial.
Semua file yang dikumpulkan akan dikompresi ke dalam satu arsip menggunakan utilitas ditto sebelum dikirim ke server yang dikendalikan penyerang melalui permintaan curl POST. Untuk mempertahankan akses jangka panjang, malware ini menginstal LaunchDaemon yang memastikan eksekusi otomatis setelah setiap reboot sistem.
Meskipun risiko AMOS terbilang serius, perlu dicatat bahwa vendor keamanan mungkin saja melebih-lebihkan keunikan dan bahaya malware ini, mengingat stealer informasi telah menargetkan sistem Windows selama hampir dua dekade. Ketergantungan berat malware ini pada persetujuan pengguna—di mana seseorang harus secara sukarela menempelkan dan menjalankan perintah Terminal—menjadi penghalang signifikan yang bisa dihindari oleh pengguna yang paham teknologi. Selain itu, peningkatan berkelanjutan dari Apple pada Gatekeeper, XProtect, dan persyaratan notarization dapat membuat AMOS menjadi kurang efektif dalam beberapa pembaruan sistem operasi yang akan datang.
Bahaya nyata mungkin bukan hanya terletak pada AMOS itu sendiri, melainkan pada kenyataan yang tidak nyaman bahwa tidak ada platform yang kebal terhadap pengguna yang mengabaikan peringatan keamanan dasar.
