O ladrão de informações do macOS, conhecido como Atomic, agora está sendo entregue ao alvo por meio de uma cadeia falsa de atualização do navegador da web, rastreada como ClearFake.
"Esta pode ser a primeira vez que vemos uma das principais campanhas de engenharia social, previamente reservada para Windows, se expandir, não só em termos de geolocalização, mas também de sistema operacional", disse Jérôme Segura, da Malwarebytes, em uma análise na terça-feira.
O Atomic Stealer (também conhecido como AMOS), documentado pela primeira vez em abril de 2023, é uma família comercial de malware que é vendida em uma base de assinatura por $1.000 por mês.
Ele vem com capacidades para sifonar dados de navegadores da web e carteiras de criptomoedas.
Em seguida, em setembro de 2023, a Malwarebytes detalhou uma campanha Atomic Stealer que se aproveita de anúncios maliciosos do Google, enganando usuários de macOS que procuram uma plataforma de gráficos financeiros conhecida como TradingView a baixar o malware.
O ClearFake, por outro lado, é uma operação de distribuição de malware neófita que emprega sites WordPress comprometidos para exibir notificações fraudulentas de atualização de navegadores da web na esperança de implantar ladrões e outros malwares.
É a adição mais recente a um grupo maior de atores de ameaças como TA569 (também conhecido como SocGholish), RogueRaticate (FakeSG), ZPHP (SmartApeSG) e EtherHiding, que são conhecidos por usar temas relacionados à falsa atualização do navegador para este propósito.
Em novembro de 2023, a campanha ClearFake foi expandida para atingir sistemas macOS com uma cadeia de infecção quase idêntica, aproveitando sites hackeados para entregar o Atomic Stealer na forma de um arquivo DMG.
O desenvolvimento é um sinal de que o malware stealer continua a contar com arquivos instaladores falsos ou contaminados para softwares legítimos por meio de anúncios maliciosos, redirecionamentos de motores de busca para sites maliciosos, downloads de passagem, phishing e envenenamento de SEO para propagação.
"A popularidade de ladrões como o AMOS torna bastante fácil adaptar a carga útil a diferentes vítimas, com pequenos ajustes", disse Segura.
Lumma Stealer Afirma Encontrar uma Forma de Extrair Cookies Persistentes do Google
A revelação também segue as atualizações do ladrão LummaC2 que utiliza uma nova técnica anti-sandbox baseada em trigonometria, que obriga o malware a esperar até que o "comportamento humano" seja detectado na máquina infectada.
Os operadores do malware também vêm promovendo um novo recurso que alegam poder ser usado para coletar cookies da Conta Google de computadores comprometidos, que não expirarão ou serão revogados mesmo se o dono mudar a senha.
"Isso resultará em uma grande mudança no mundo do cibercrime, possibilitando aos hackers infiltrar ainda mais contas e realizar ataques significativos", disse Alon Gal, co-fundador e CTO da Hudson Rock, em uma série de posts no LinkedIn.
"A conclusão é que esses cookies parecem mais persistentes e podem levar a um influxo de serviços do Google usados por pessoas sendo hackeados, e se a alegação de que uma mudança de senha não invalida a sessão for verdadeira, estamos olhando para problemas muito maiores."
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...