Schadelijke advertenties en nepwebsites fungeren als kanaal om twee verschillende stealer-malware te verspreiden, waaronder Atomic Stealer, gericht op Apple macOS-gebruikers.
De voortdurende infostealer-aanvallen gericht op macOS-gebruikers hebben mogelijk verschillende methoden gebruikt om de Macs van slachtoffers in gevaar te brengen, maar opereren met als einddoel het stelen van gevoelige gegevens, aldus Jamf Threat Labs in een vrijdag gepubliceerd rapport.
Eén zo'n aanvalsketen is gericht op gebruikers die zoeken naar Arc Browser op zoekmachines zoals Google om valse advertenties weer te geven die gebruikers omleiden naar vergelijkbare sites (“airci[.]net”) die de malware bedienen.
“Interessant is dat de kwaadaardige website niet rechtstreeks kan worden benaderd, omdat deze een foutmelding geeft”, aldus beveiligingsonderzoekers Jaron Bradley, Ferdous Saljooki en Maggie Zirnhelt. “Het is alleen toegankelijk via een gegenereerde gesponsorde link, vermoedelijk om detectie te omzeilen.”
Het schijfkopiebestand dat is gedownload van de nagemaakte website (“ArcSetup.dmg”) levert Atomic Stealer, waarvan bekend is dat het gebruikers vraagt om hun systeemwachtwoorden in te voeren via een nep-prompt en uiteindelijk informatiediefstal vergemakkelijkt.
Jamf zei dat het ook een nepwebsite had ontdekt genaamd meethub[.]gg dat beweert gratis software voor het plannen van groepsvergaderingen aan te bieden, maar in werkelijkheid een andere stealer-malware installeert die de sleutelhangergegevens van gebruikers, opgeslagen inloggegevens in webbrowsers en informatie uit cryptocurrency-portefeuilles kan verzamelen.
Net als Atomic stealer vraagt de malware – waarvan wordt gezegd dat deze overlapt met een op Rust gebaseerde stealer-familie bekend als Realst – de gebruiker ook om zijn macOS-inlogwachtwoord met behulp van een AppleScript-oproep om zijn kwaadaardige acties uit te voeren.
Aanvallen waarbij gebruik werd gemaakt van deze malware zouden de slachtoffers hebben benaderd onder het voorwendsel om vacatures te bespreken interviewen voor een podcastwaarna ze werden gevraagd een app van meethub te downloaden[.]gg om deel te nemen aan een videoconferentie die wordt aangeboden in de uitnodigingen voor de vergadering.
“Deze aanvallen zijn vaak gericht op mensen in de crypto-industrie, omdat dergelijke inspanningen kunnen leiden tot grote uitbetalingen voor aanvallers”, aldus de onderzoekers. “Degenen in de sector moeten zich er zeer van bewust zijn dat het vaak gemakkelijk is om openbare informatie te vinden dat zij activahouders zijn of gemakkelijk kunnen worden gekoppeld aan een bedrijf dat hen in deze sector plaatst.”
De ontwikkeling komt op het moment dat MacPaw's cyberbeveiligingsdivisie Moonlock Lab bekendmaakte dat kwaadaardige DMG-bestanden (“App_v1.0.4.dmg”) door bedreigingsactoren worden gebruikt om stealer-malware in te zetten die is ontworpen om inloggegevens en gegevens uit verschillende applicaties te extraheren.
Dit wordt bereikt door middel van een versluierde AppleScript- en bash-payload die wordt opgehaald van een Russisch IP-adres, waarvan het eerste wordt gebruikt om een misleidende prompt te starten (zoals hierboven vermeld) om gebruikers te misleiden zodat ze de systeemwachtwoorden opgeven.
“Vermomd als een onschadelijk DMG-bestand, verleidt het de gebruiker tot installatie via een phishing-image, waardoor de gebruiker wordt overgehaald om de Gatekeeper-beveiligingsfunctie van macOS te omzeilen”, aldus beveiligingsonderzoeker Mykhailo Hrebeniuk.
De ontwikkeling is een indicatie dat macOS-omgevingen steeds meer worden bedreigd door stealer-aanvallen, waarbij sommige soorten zelfs prat gaan op geavanceerde antivirtualisatietechnieken door een zelfvernietigende kill-schakelaar te activeren om detectie te omzeilen.
De afgelopen weken zijn er ook malvertisingcampagnes waargenomen die de FakeBat-lader (ook bekend als EugenLoader) en andere informatiestelers zoals Rhadamanthys via een op Go gebaseerde lader door loksites voor populaire software zoals Notion en PuTTY duwen.
