Atomic Stealer Mac Malware distribueret gennem Malvertising

En nylig malvertising-kampagne er blevet opdaget, der distribuerer en opdateret version af macOS-tyveri-malware kendt som Atomic Stealer eller AMOS, hvilket indikerer aktiv vedligeholdelse af dens skaber.

Atomic Stealer, en let tilgængelig Golang-malware til $1.000 om måneden, dukkede oprindeligt op i april 2023. Kort efter dukkede nye varianter op med udvidede dataindsamlingsmuligheder, målrettet mod spillere og cryptocurrency-entusiaster.

Den primære distributionsmetode, der observeres i denne kampagne, er malvertising via Google Ads. Brugere, der søger efter populær software, uanset om den er legitim eller cracket, på søgemaskiner, bliver udsat for falske annoncer, der omdirigerer dem til websteder, der hoster useriøse installatører.

I den seneste kampagne har et vildledende TradingView-websted fremtrædende tre downloadknapper til Windows, macOS og Linux-operativsystemer.

Atomic Stealer nyttelast fordelt gennem fil hostet på Discord

Jérôme Segura, direktør for trusselsintelligens hos Malwarebytes, forklarede, at både Windows- og Linux-knapperne fører til et MSIX-installationsprogram hostet på Discord, som dropper NetSupport RAT.

MacOS nyttelasten, mærket "TradingView.dmg," er en ny version af Atomic Stealer udgivet i slutningen af juni. Det er bundtet i en specialsigneret applikation, der ved udførelse beder brugerne om en falsk adgangskodeanmodning, hvilket muliggør indsamling af filer og data gemt i iCloud-nøglering og webbrowsere.

Angriberens ultimative mål er at omgå macOS Gatekeeper-beskyttelse og overføre de stjålne data til en server under deres kontrol.

Denne udvikling falder sammen med, at macOS bliver et stadig mere attraktivt mål for malwareangreb. De seneste måneder har set fremkomsten af macOS-specifikke informationstyveriværktøjer til salg på kriminelle fora, der drager fordel af den udbredte brug af Apple-systemer i organisationer.