Atomic Stealer Mac Malware distribueras genom malvertising

En nyligen skadlig kampanj har upptäckts, som distribuerar en uppdaterad version av macOS stöldskadlig programvara känd som Atomic Stealer eller AMOS, vilket indikerar aktivt underhåll av dess skapare.

Atomic Stealer, en lättillgänglig Golang-skadlig programvara för $1 000 per månad, dök först upp i april 2023. Kort därefter dök det upp nya varianter med utökade datainsamlingsmöjligheter, riktade mot spelare och kryptovalutaentusiaster.

Den primära distributionsmetoden som observeras i den här kampanjen är malvertising via Google Ads. Användare som söker efter populär programvara, oavsett om den är legitim eller knäckt, på sökmotorer utsätts för falska annonser som omdirigerar dem till webbplatser som är värd för falska installatörer.

I den senaste kampanjen har en bedräglig TradingView-webbplats framträdande tre nedladdningsknappar för Windows, macOS och Linux operativsystem.

Atomic Stealer nyttolast distribuerad genom fil som är värd på Discord

Jérôme Segura, chef för hotintelligens på Malwarebytes, förklarade att både Windows- och Linux-knapparna leder till ett MSIX-installationsprogram på Discord, vilket tar bort NetSupport RAT.

MacOS nyttolasten, märkt "TradingView.dmg," är en ny version av Atomic Stealer som släpptes i slutet av juni. Det är paketerat i en specialsignerad applikation som vid körning uppmanar användare med en falsk lösenordsbegäran, vilket möjliggör insamling av filer och data lagrade i iCloud Keychain och webbläsare.

Angriparens slutmål är att kringgå macOS Gatekeeper-skydd och överföra stulna data till en server under deras kontroll.

Denna utveckling sammanfaller med att macOS blir ett alltmer attraktivt mål för attacker med skadlig programvara. De senaste månaderna har sett uppkomsten av macOS-specifika informationsstöldverktyg för försäljning på kriminella forum, och drar fördel av den utbredda användningen av Apple-system i organisationer.