Atomic Stealer Mac Malware distribuert gjennom Malvertising

En nylig malvertising-kampanje har blitt oppdaget, som distribuerer en oppdatert versjon av macOS-tyveriskadelig programvare kjent som Atomic Stealer eller AMOS, noe som indikerer aktivt vedlikehold fra skaperen.

Atomic Stealer, en lett tilgjengelig Golang-skadevare for $1000 per måned, dukket først opp i april 2023. Kort tid etter dukket det opp nye varianter med utvidede datainnsamlingsmuligheter, rettet mot spillere og kryptovaluta-entusiaster.

Den primære distribusjonsmetoden som er observert i denne kampanjen er malvertising via Google Ads. Brukere som søker etter populær programvare, enten lovlig eller sprukket, på søkemotorer blir utsatt for falske annonser som omdirigerer dem til nettsteder som er vert for useriøse installatører.

I den siste kampanjen har et villedende TradingView-nettsted fremtredende tre nedlastingsknapper for Windows, macOS og Linux-operativsystemer.

Atomic Stealer nyttelast distribuert gjennom fil hostet på Discord

Jérôme Segura, direktør for trusselintelligens hos Malwarebytes, forklarte at både Windows- og Linux-knappene fører til et MSIX-installasjonsprogram som er vert på Discord, som slipper NetSupport RAT.

MacOS-nyttelasten, merket "TradingView.dmg," er en ny versjon av Atomic Stealer utgitt i slutten av juni. Den er samlet i en spesialsignert applikasjon som, ved kjøring, ber brukerne om en falsk passordforespørsel, noe som muliggjør innsamling av filer og data lagret i iCloud nøkkelring og nettlesere.

Angriperens endelige mål er å omgå macOS Gatekeeper-beskyttelse og overføre de stjålne dataene til en server under deres kontroll.

Denne utviklingen faller sammen med at macOS blir et stadig mer attraktivt mål for angrep mot skadelig programvare. De siste månedene har sett fremveksten av macOS-spesifikke informasjonstyveriverktøy for salg på kriminelle fora, og drar fordel av den utbredte bruken av Apple-systemer i organisasjoner.