Anúncios maliciosos e websites falsos estão agindo como um canal para entregar dois malwares ladrões diferentes, incluindo o Atomic Stealer, direcionado a usuários do Apple macOS.
Os contínuos ataques de infostealer direcionados a usuários do macOS podem ter adotado métodos diferentes para comprometer os Macs das vítimas, mas operam com o objetivo remaining de roubar dados confidenciais, disse o Jamf Risk Labs em um relatório publicado na sexta-feira.
Uma dessas cadeias de ataque tem como alvo os usuários que procuram o Arc Browser em mecanismos de pesquisa como o Google para veicular anúncios falsos que redirecionam os usuários para websites semelhantes (“airci(.)internet”) que veiculam o malware.
“Curiosamente, o web site malicioso não pode ser acessado diretamente, pois retorna um erro”, disseram os pesquisadores de segurança Jaron Bradley, Ferdous Saljooki e Maggie Zirnhelt. “Ele só pode ser acessado através de um hyperlink patrocinado gerado, presumivelmente para evitar a detecção”.
O arquivo de imagem de disco baixado do web site falsificado (“ArcSetup.dmg”) fornece o Atomic Stealer, que é conhecido por solicitar que os usuários insiram as senhas do sistema por meio de um immediate falso e, em última análise, facilita o roubo de informações.
Jamf disse que também descobriu um web site falso chamado meethub(.)gg que afirma oferecer um software program gratuito de agendamento de reuniões em grupo, mas na verdade instala outro malware ladrão capaz de coletar dados de chaves de usuários, credenciais armazenadas em navegadores da internet e informações de carteiras de criptomoedas .
Muito parecido com o Atomic stealer, o malware – que supostamente se sobrepõe a uma família de ladrões baseados em Rust conhecida como Realst – também solicita ao usuário sua senha de login do macOS usando uma chamada AppleScript para realizar suas ações maliciosas.
Diz-se que os ataques que utilizam este malware abordaram as vítimas sob o pretexto de discutir oportunidades de emprego e entrevistando-os para um podcastsolicitando posteriormente que baixem um aplicativo do meethub(.)gg para participar de uma videoconferência fornecida nos convites da reunião.
“Esses ataques geralmente se concentram na indústria de criptografia, pois tais esforços podem levar a grandes pagamentos aos invasores”, disseram os pesquisadores. “Aqueles que trabalham no setor deveriam estar hiperconscientes de que muitas vezes é fácil encontrar informações públicas de que são detentores de ativos ou podem facilmente estar vinculados a uma empresa que os coloca neste setor.”
O desenvolvimento ocorre no momento em que a divisão de segurança cibernética da MacPaw, Moonlock Lab, revela que arquivos DMG maliciosos (“App_v1.0.4.dmg”) estão sendo usados por agentes de ameaças para implantar um malware ladrão projetado para extrair credenciais e dados de vários aplicativos.
Isso é feito por meio de um AppleScript ofuscado e uma carga bash recuperada de um endereço IP russo, o primeiro dos quais é usado para lançar um immediate enganoso (como mencionado acima) para induzir os usuários a fornecerem as senhas do sistema.
“Disfarçado como um arquivo DMG inofensivo, ele engana o usuário na instalação por meio de uma imagem de phishing, persuadindo o usuário a ignorar o recurso de segurança Gatekeeper do macOS”, disse o pesquisador de segurança Mykhailo Hrebeniuk.
O desenvolvimento é uma indicação de que os ambientes macOS estão cada vez mais ameaçados por ataques de ladrões, com algumas linhagens até se vangloriando de técnicas sofisticadas de antivirtualização, ativando um kill change autodestrutivo para evitar a detecção.
Nas últimas semanas, campanhas de malvertising também foram observadas empurrando o carregador FakeBat (também conhecido como EugenLoader) e outros ladrões de informações como Rhadamanthys por meio de um carregador baseado em Go através de websites chamariz para softwares populares como Notion e PuTTY.
