De macOS-informatiedief die bekend staat als Atomic wordt nu aan het doel geleverd via een valse webbrowser-updateketen die wordt bijgehouden als ClearFake.
“Dit zou heel goed de eerste keer kunnen zijn dat we een van de belangrijkste social engineering-campagnes, voorheen gereserveerd voor Windows, niet alleen in termen van geolocatie, maar ook in termen van besturingssysteem zien uitbreiden”, zei Jérôme Segura van Malwarebytes dinsdag in een analyse.
Atomic Stealer (ook bekend als AMOS), voor het eerst gedocumenteerd in april 2023, is een familie van commerciële stealer-malware die op abonnementsbasis wordt verkocht voor $ 1.000 per maand. Het wordt geleverd met mogelijkheden om gegevens uit webbrowsers en cryptocurrency-portefeuilles over te hevelen.
Vervolgens heeft Malwarebytes in september 2023 een Atomic Stealer-campagne uitgewerkt die misbruik maakt van kwaadaardige Google-advertenties, waardoor macOS-gebruikers die op zoek zijn naar een platform voor financiële grafieken dat bekend staat als TradingView, worden misleid om de malware te downloaden.
ClearFake daarentegen is een opkomende malwaredistributieoperatie die gecompromitteerde WordPress-sites gebruikt om frauduleuze updates van webbrowsers door te geven in de hoop stealers en andere malware in te zetten.
Het is de nieuwste toevoeging aan een grotere groep bedreigingsactoren zoals TA569 (ook bekend als SocGholish), RogueRaticate (FakeSG), ZPHP (SmartApeSG) en EtherHiding, waarvan bekend is dat ze voor dit doel thema’s gebruiken die verband houden met valse browserupdates.
Vanaf november 2023 is de ClearFake-campagne uitgebreid om zich te richten op macOS-systemen met een vrijwel identieke infectieketen, waarbij gehackte websites worden ingezet om Atomic Stealer te leveren in de vorm van een DMG-bestand.
De ontwikkeling is een teken dat stealer-malware voor legitieme software blijft vertrouwen op valse of vergiftigde installatiebestanden via kwaadaardige advertenties, omleidingen van zoekmachines naar kwaadaardige websites, drive-by downloads, phishing en SEO-vergiftiging voor verspreiding.
“De populariteit van stealers zoals AMOS maakt het vrij eenvoudig om de lading aan te passen aan verschillende slachtoffers, met kleine aanpassingen”, aldus Segura.
Lumma Stealer beweert een manier te vinden om persistente Google-cookies te extraheren
De onthulling volgt ook op updates van de LummaC2-stealer die gebruik maakt van een nieuwe op trigonometrie gebaseerde anti-sandbox-techniek die de malware dwingt te wachten totdat er ‘menselijk’ gedrag wordt gedetecteerd op de geïnfecteerde machine.
De exploitanten van de malware hebben ook een nieuwe functie gepromoot waarvan zij beweren dat deze kan worden gebruikt om Google-accountcookies te verzamelen van gecompromitteerde computers die niet verlopen of worden ingetrokken, zelfs niet als de eigenaar het wachtwoord wijzigt.
“Dit zal resulteren in een grote verschuiving in de cybercriminaliteitswereld, waardoor hackers nog meer accounts kunnen infiltreren en aanzienlijke aanvallen kunnen uitvoeren”, zegt Alon Gal, mede-oprichter en CTO bij Hudson Rock, in een reeks berichten op LinkedIn.
“Het komt erop neer dat deze cookies persistenter lijken en kunnen leiden tot een toevloed van Google-services die worden gebruikt door mensen die worden gehackt. Als de bewering dat een wachtwoordwijziging de sessie niet ongeldig maakt waar is, kijken we naar veel grotere problemen.”
