Atomic Stealer Mac Malware που διανέμεται μέσω Malvertising

Εντοπίστηκε μια πρόσφατη καμπάνια κακόβουλης διαφήμισης, η οποία διανέμει μια ενημερωμένη έκδοση κακόβουλου λογισμικού κλοπής macOS, γνωστής ως Atomic Stealer ή AMOS, υποδεικνύοντας την ενεργή συντήρηση από τον δημιουργό του.

Το Atomic Stealer, ένα εύκολα διαθέσιμο κακόβουλο λογισμικό Golang για 1.000 $ το μήνα, εμφανίστηκε αρχικά τον Απρίλιο του 2023. Λίγο αργότερα, εμφανίστηκαν νέες παραλλαγές με διευρυμένες δυνατότητες συλλογής δεδομένων, που στοχεύουν παίκτες και λάτρεις των κρυπτονομισμάτων.

Η κύρια μέθοδος διανομής που παρατηρείται σε αυτήν την καμπάνια είναι η κακή διαφήμιση μέσω του Google Ads. Οι χρήστες που αναζητούν δημοφιλές λογισμικό, είτε νόμιμο είτε σπασμένο, στις μηχανές αναζήτησης εκτίθενται σε ψεύτικες διαφημίσεις που τους ανακατευθύνουν σε ιστότοπους που φιλοξενούν αδίστακτους εγκαταστάτες.

Στην τελευταία καμπάνια, ένας παραπλανητικός ιστότοπος του TradingView διαθέτει εμφανώς τρία κουμπιά λήψης για λειτουργικά συστήματα Windows, macOS και Linux.

Το ωφέλιμο φορτίο Atomic Stealer διανέμεται μέσω αρχείου που φιλοξενείται στο Discord

Ο Jérôme Segura, διευθυντής πληροφοριών απειλών στο Malwarebytes, εξήγησε ότι τόσο τα κουμπιά των Windows όσο και του Linux οδηγούν σε ένα πρόγραμμα εγκατάστασης MSIX που φιλοξενείται στο Discord, το οποίο αφαιρεί το NetSupport RAT.

Το ωφέλιμο φορτίο macOS, με την ένδειξη "TradingView.dmg", είναι μια νέα έκδοση του Atomic Stealer που κυκλοφόρησε στα τέλη Ιουνίου. Είναι ομαδοποιημένο σε μια προσαρμοσμένη υπογεγραμμένη εφαρμογή που, κατά την εκτέλεση, ζητά από τους χρήστες ένα ψεύτικο αίτημα κωδικού πρόσβασης, επιτρέποντας τη συλλογή αρχείων και δεδομένων που είναι αποθηκευμένα στο iCloud Keychain και σε προγράμματα περιήγησης ιστού.

Ο απώτερος στόχος του εισβολέα είναι να παρακάμψει τις προστασίες του macOS Gatekeeper και να μεταφέρει τα κλεμμένα δεδομένα σε έναν διακομιστή που βρίσκεται υπό τον έλεγχό του.

Αυτή η εξέλιξη συμπίπτει με το macOS να γίνεται όλο και πιο ελκυστικός στόχος για επιθέσεις κακόβουλου λογισμικού. Τους τελευταίους μήνες είδαμε την εμφάνιση εργαλείων κλοπής πληροφοριών ειδικά για το macOS προς πώληση σε εγκληματικά φόρουμ, αξιοποιώντας την ευρεία χρήση των συστημάτων Apple σε οργανισμούς.