Atomic Stealer Mac マルウェアがマルバタイジングを通じて配布される

最近のマルバタイジング キャンペーンが検出され、Atomic Stealer (AMOS) として知られる macOS 盗難マルウェアの更新バージョンが配布されており、その作成者によるアクティブなメンテナンスが示されています。

Atomic Stealer は、月額 1,000 ドルですぐに入手できる Golang マルウェアで、2023 年 4 月に初めて出現しました。その後すぐに、ゲーマーや仮想通貨愛好家をターゲットに、拡張されたデータ収集機能を備えた新しい亜種が出現しました。

このキャンペーンで確認された主な配布方法は、Google 広告を通じたマルバタイジングです。検索エンジンで人気のソフトウェアを検索しているユーザーは、正規かクラッキングかを問わず、不正なインストーラーをホストする Web サイトにリダイレクトされる偽の広告にさらされます。

最新のキャンペーンでは、欺瞞的なTradingView Webサイトに、Windows、macOS、Linuxオペレーティング システム用の3つのダウンロード ボタンが目立つように設置されています。

Discord でホストされているファイルを介して配布された Atomic Stealer ペイロード

Malwarebytes の脅威インテリジェンス ディレクターである Jérôme Segura 氏は、Windows ボタンと Linux ボタンの両方が Discord でホストされている MSIX インストーラーにつながり、NetSupport RAT がドロップされると説明しました。

「TradingView.dmg」というラベルの付いた macOS ペイロードは、6 月末にリリースされた Atomic Stealer の新バージョンです。これはカスタム署名されたアプリケーションにバンドルされており、実行時にユーザーに偽のパスワード要求を要求し、iCloud キーチェーンや Web ブラウザに保存されているファイルやデータの収集を可能にします。

攻撃者の最終的な目標は、macOS Gatekeeper の保護を回避し、盗まれたデータを制御下のサーバーに転送することです。

この発展は、macOS がマルウェア攻撃のターゲットとしてますます魅力的になっていることと一致しています。ここ数カ月間、組織内で Apple システムが広く使用されているのを利用して、macOS 固有の情報盗難ツールが犯罪フォーラムで販売されるようになりました。