Złośliwe oprogramowanie Atomic Stealer dla komputerów Mac rozpowszechniane poprzez złośliwe reklamy

Wykryto niedawną kampanię złośliwego oprogramowania rozpowszechniającą zaktualizowaną wersję złośliwego oprogramowania kradnącego system macOS, znanego jako Atomic Stealer lub AMOS, co wskazuje na aktywną konserwację jego twórcy.

Atomic Stealer, łatwo dostępne złośliwe oprogramowanie Golang za 1000 dolarów miesięcznie, pojawiło się początkowo w kwietniu 2023 r. Wkrótce potem pojawiły się nowe warianty z rozszerzonymi możliwościami gromadzenia danych, skierowane do graczy i entuzjastów kryptowalut.

Podstawową metodą dystrybucji zaobserwowaną w tej kampanii jest złośliwa reklama za pośrednictwem Google Ads. Użytkownicy wyszukujący w wyszukiwarkach popularne oprogramowanie, zarówno legalne, jak i złamane, są narażeni na fałszywe reklamy, które przekierowują ich do witryn zawierających fałszywe instalatory.

W najnowszej kampanii zwodnicza witryna TradingView zawiera trzy przyciski pobierania dla systemów operacyjnych Windows, macOS i Linux.

Ładunek Atomic Stealer rozpowszechniany za pośrednictwem plików hostowanych na Discordzie

Jérôme Segura, dyrektor ds. analizy zagrożeń w Malwarebytes, wyjaśnił, że oba przyciski Windows i Linux prowadzą do instalatora MSIX hostowanego na Discordzie, który usuwa NetSupport RAT.

Ładunek macOS, oznaczony jako „TradingView.dmg”, to nowa wersja Atomic Stealer wydana pod koniec czerwca. Jest zawarty w specjalnie podpisanej aplikacji, która po uruchomieniu wyświetla monit o podanie fałszywego hasła, umożliwiając przechwytywanie plików i danych przechowywanych w pęku kluczy iCloud i przeglądarkach internetowych.

Ostatecznym celem atakującego jest ominięcie zabezpieczeń macOS Gatekeeper i przesłanie skradzionych danych na kontrolowany przez niego serwer.

Rozwój ten zbiega się z faktem, że macOS staje się coraz bardziej atrakcyjnym celem ataków złośliwego oprogramowania. W ostatnich miesiącach pojawiły się narzędzia do kradzieży informacji przeznaczone dla systemu macOS, które są sprzedawane na forach przestępczych i wykorzystują powszechne wykorzystanie systemów Apple w organizacjach.