Anúncios maliciosos e websites falsificados estão agindo como um meio para distribuir dois diferentes malwares stealer, incluindo o Atomic Stealer, visando usuários do Apple macOS.
Os ataques contínuos de infostealers direcionados a usuários do macOS podem ter adotado diferentes métodos para comprometer os Macs das vítimas, mas operam com o objetivo final de roubar dados sensíveis, disse a Jamf Threat Labs em um relatório publicado na sexta-feira.
Uma dessas cadeias de ataque visa usuários que buscam pelo Arc Browser em motores de busca como o Google para fornecer anúncios falsos que redirecionam os usuários para sites semelhantes ("airci[.]net") que entregam o malware.
“Curiosamente, o website malicioso não pode ser acessado diretamente, pois retorna um erro”, disseram os pesquisadores de segurança Jaron Bradley, Ferdous Saljooki e Maggie Zirnhelt.
“Só pode ser acessado através de um link patrocinado gerado, presumivelmente para evitar a detecção.” O arquivo de imagem de disco baixado do site falsificado ("ArcSetup.dmg") entrega o Atomic Stealer, que é conhecido por solicitar aos usuários que entrem suas senhas do sistema através de um prompt falso e, em última análise, facilitar o roubo de informações.
A Jamf também descobriu um website falso chamado meethub[.]gg que afirma oferecer um software gratuito de agendamento de reuniões em grupo, mas que na verdade instala outro malware stealer capaz de colher dados do chaveiro dos usuários, credenciais armazenadas em navegadores web e informações de carteiras de criptomoedas.
Semelhante ao Atomic Stealer, o malware - que se diz sobrepor com uma família de stealers baseada em Rust conhecida como Realst - também solicita a senha de login do macOS do usuário usando uma chamada de AppleScript para executar suas ações maliciosas.
Diz-se que ataques utilizando esse malware abordaram as vítimas sob o pretexto de discutir oportunidades de trabalho e entrevistá-las para um podcast, subsequentemente pedindo para baixarem um aplicativo do meethub[.]gg para se juntarem a uma conferência de vídeo fornecida nos convites da reunião.
“Esses ataques são frequentemente focados naqueles na indústria de cripto, pois tais esforços podem levar a grandes pagamentos para os atacantes,” disseram os pesquisadores.
“Aqueles na indústria devem estar hiperconscientes de que é frequentemente fácil encontrar informações públicas de que são detentores de ativos ou podem facilmente ser ligados a uma empresa que os coloca nessa indústria.”
O desenvolvimento acontece ao mesmo tempo que a divisão de cibersegurança da MacPaw, Moonlock Lab, divulgou que arquivos DMG maliciosos ("App_v1.0.4.dmg") estão sendo usados por atores de ameaças para implantar um malware stealer projetado para extrair credenciais e dados de várias aplicações.
Isso é realizado por meio de um AppleScript ofuscado e um payload bash que é recuperado de um endereço IP russo, o primeiro dos quais é usado para lançar um prompt enganoso (como mencionado acima) para enganar os usuários a fornecerem as senhas do sistema.
"Disfarçado como um arquivo DMG inofensivo, ele engana o usuário para instalação via uma imagem de phishing, persuadindo o usuário a contornar o recurso de segurança Gatekeeper do macOS", disse o pesquisador de segurança Mykhailo Hrebeniuk.
O desenvolvimento é uma indicação de que os ambientes macOS estão cada vez mais sob ameaça de ataques stealer, com algumas cepas até mesmo se vangloriando de técnicas anti-virtualização sofisticadas ativando um interruptor de autodestruição para evadir detecção.
Nas últimas semanas, campanhas de malvertising também foram observadas promovendo o carregador FakeBat (também conhecido como EugenLoader) e outros stealers de informações como o Rhadamanthys através de um carregador baseado em Go por meio de sites isca para softwares populares como Notion e PuTTY.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...