Malware Atomic Stealer Mac distribuído por meio de malvertising

Uma recente campanha de malvertising foi detectada, distribuindo uma versão atualizada do malware de roubo do macOS conhecido como Atomic Stealer ou AMOS, indicando manutenção ativa por seu criador.

Atomic Stealer, um malware Golang prontamente disponível por US$ 1.000 por mês, surgiu inicialmente em abril de 2023. Pouco depois, surgiram novas variantes com recursos expandidos de coleta de dados, visando jogadores e entusiastas de criptomoedas.

O principal método de distribuição observado nesta campanha é a malvertising por meio do Google Ads. Os usuários que procuram software popular, seja legítimo ou crackeado, em mecanismos de pesquisa são expostos a anúncios falsos que os redirecionam para sites que hospedam instaladores fraudulentos.

Na campanha mais recente, um site enganoso do TradingView apresenta três botões de download para os sistemas operacionais Windows, macOS e Linux.

Carga útil do Atomic Stealer distribuída por meio de arquivo hospedado no Discord

Jérôme Segura, diretor de inteligência de ameaças da Malwarebytes, explicou que os botões do Windows e do Linux levam a um instalador MSIX hospedado no Discord, que descarta o NetSupport RAT.

A carga útil do macOS, denominada “TradingView.dmg”, é uma nova versão do Atomic Stealer lançada no final de junho. Ele vem integrado em um aplicativo personalizado que, após a execução, solicita aos usuários uma solicitação de senha falsa, permitindo a coleta de arquivos e dados armazenados no iCloud Keychain e em navegadores da web.

O objetivo final do invasor é contornar as proteções do macOS Gatekeeper e transferir os dados roubados para um servidor sob seu controle.

Este desenvolvimento coincide com o facto de o macOS se tornar um alvo cada vez mais atraente para ataques de malware. Nos últimos meses, assistimos ao surgimento de ferramentas de roubo de informações específicas para macOS à venda em fóruns criminosos, aproveitando o uso generalizado de sistemas Apple nas organizações.