Вредоносная реклама и поддельные веб-сайты служат каналом распространения двух различных вредоносных программ stealer, включая Atomic Stealer, нацеленных на пользователей Apple macOS.
Продолжающиеся атаки infostealer, нацеленные на пользователей macOS, могли использовать различные методы для компрометации компьютеров Mac жертв, но их конечной целью является кража конфиденциальных данных, говорится в отчете Jamf Threat Labs, опубликованном в пятницу.
Одна из таких цепочек атак нацелена на пользователей, которые ищут Arc Browser в поисковых системах, таких как Google, для показа поддельной рекламы, перенаправляющей пользователей на похожие сайты ("airci [.] net"), на которых размещается вредоносное ПО.
"Интересно, что к вредоносному веб-сайту нельзя получить прямой доступ, поскольку он возвращает ошибку", - сказали исследователи безопасности Джарон Брэдли, Фердоус Салджуки и Мэгги Зирнхельт. "Получить доступ к нему можно только по сгенерированной рекламной ссылке, предположительно, чтобы избежать обнаружения".
Файл образа диска, загруженный с поддельного веб-сайта ("ArcSetup.dmg"), содержит Atomic Stealer, который, как известно, запрашивает у пользователей системные пароли с помощью поддельного запроса и в конечном итоге способствует краже информации.
Jamf заявила, что также обнаружила фальшивый веб-сайт под названием meethub [.] gg, который утверждает, что предлагает бесплатное программное обеспечение для планирования групповых собраний, но на самом деле устанавливает другое вредоносное ПО stealer, способное собирать данные цепочки ключей пользователей, сохраненные учетные данные в веб-браузерах и информацию с криптовалютных кошельков.
Как и Atomic stealer, вредоносное ПО, которое, как говорят, совпадает с семейством stealer на основе Rust, известным как Realst, также запрашивает у пользователя пароль для входа в macOS с помощью вызова AppleScript для выполнения своих вредоносных действий.
Сообщается, что злоумышленники с использованием этого вредоносного ПО обращались к жертвам под предлогом обсуждения возможностей трудоустройства и собеседования с ними для подкаста, а затем просили их загрузить приложение с meethub [.] gg, чтобы присоединиться к видеоконференции, указанной в приглашениях на встречу.
"Эти атаки часто нацелены на представителей криптоиндустрии, поскольку такие усилия могут привести к крупным выплатам злоумышленникам", - говорят исследователи. "Те, кто работает в отрасли, должны быть предельно осведомлены о том, что часто бывает легко найти общедоступную информацию о том, что они являются владельцами активов или могут быть легко связаны с компанией, которая привлекает их в эту отрасль".
Разработка происходит после того, как подразделение кибербезопасности MacPaw Moonlock Lab раскрыло, что вредоносные файлы DMG ("App_v1.0.4.dmg") используются злоумышленниками для развертывания вредоносного ПО stealer, предназначенного для извлечения учетных данных из различных приложений.
Это достигается с помощью запутанной полезной нагрузки AppleScript и bash, которая извлекается с российского IP-адреса, первый из которых используется для запуска вводящего в заблуждение запроса (как упоминалось выше), чтобы обманом заставить пользователей предоставить системные пароли.
"Замаскированное под безобидный DMG-файл, оно обманом заставляет пользователя установить его с помощью фишингового изображения, убеждая пользователя обойти функцию безопасности Gatekeeper macOS", - сказал исследователь безопасности Михаил Гребенюк.
Это событие свидетельствует о том, что среде macOS все чаще угрожают атаки stealer, причем некоторые штаммы даже могут похвастаться сложными методами защиты от виртуализации, активируя самоуничтожающийся переключатель отключения, чтобы избежать обнаружения.
В последние недели также были замечены кампании вредоносной рекламы, продвигающие загрузчик FakeBat (он же EugenLoader) и других похитителей информации, таких как Rhadamanthys, через загрузчик на базе Go через сайты-приманки для популярного программного обеспечения, такого как Notion и PuTTY.
Продолжающиеся атаки infostealer, нацеленные на пользователей macOS, могли использовать различные методы для компрометации компьютеров Mac жертв, но их конечной целью является кража конфиденциальных данных, говорится в отчете Jamf Threat Labs, опубликованном в пятницу.
Одна из таких цепочек атак нацелена на пользователей, которые ищут Arc Browser в поисковых системах, таких как Google, для показа поддельной рекламы, перенаправляющей пользователей на похожие сайты ("airci [.] net"), на которых размещается вредоносное ПО.
"Интересно, что к вредоносному веб-сайту нельзя получить прямой доступ, поскольку он возвращает ошибку", - сказали исследователи безопасности Джарон Брэдли, Фердоус Салджуки и Мэгги Зирнхельт. "Получить доступ к нему можно только по сгенерированной рекламной ссылке, предположительно, чтобы избежать обнаружения".
Файл образа диска, загруженный с поддельного веб-сайта ("ArcSetup.dmg"), содержит Atomic Stealer, который, как известно, запрашивает у пользователей системные пароли с помощью поддельного запроса и в конечном итоге способствует краже информации.
Jamf заявила, что также обнаружила фальшивый веб-сайт под названием meethub [.] gg, который утверждает, что предлагает бесплатное программное обеспечение для планирования групповых собраний, но на самом деле устанавливает другое вредоносное ПО stealer, способное собирать данные цепочки ключей пользователей, сохраненные учетные данные в веб-браузерах и информацию с криптовалютных кошельков.
Как и Atomic stealer, вредоносное ПО, которое, как говорят, совпадает с семейством stealer на основе Rust, известным как Realst, также запрашивает у пользователя пароль для входа в macOS с помощью вызова AppleScript для выполнения своих вредоносных действий.
Сообщается, что злоумышленники с использованием этого вредоносного ПО обращались к жертвам под предлогом обсуждения возможностей трудоустройства и собеседования с ними для подкаста, а затем просили их загрузить приложение с meethub [.] gg, чтобы присоединиться к видеоконференции, указанной в приглашениях на встречу.
"Эти атаки часто нацелены на представителей криптоиндустрии, поскольку такие усилия могут привести к крупным выплатам злоумышленникам", - говорят исследователи. "Те, кто работает в отрасли, должны быть предельно осведомлены о том, что часто бывает легко найти общедоступную информацию о том, что они являются владельцами активов или могут быть легко связаны с компанией, которая привлекает их в эту отрасль".
Разработка происходит после того, как подразделение кибербезопасности MacPaw Moonlock Lab раскрыло, что вредоносные файлы DMG ("App_v1.0.4.dmg") используются злоумышленниками для развертывания вредоносного ПО stealer, предназначенного для извлечения учетных данных из различных приложений.
Это достигается с помощью запутанной полезной нагрузки AppleScript и bash, которая извлекается с российского IP-адреса, первый из которых используется для запуска вводящего в заблуждение запроса (как упоминалось выше), чтобы обманом заставить пользователей предоставить системные пароли.
"Замаскированное под безобидный DMG-файл, оно обманом заставляет пользователя установить его с помощью фишингового изображения, убеждая пользователя обойти функцию безопасности Gatekeeper macOS", - сказал исследователь безопасности Михаил Гребенюк.
Это событие свидетельствует о том, что среде macOS все чаще угрожают атаки stealer, причем некоторые штаммы даже могут похвастаться сложными методами защиты от виртуализации, активируя самоуничтожающийся переключатель отключения, чтобы избежать обнаружения.
В последние недели также были замечены кампании вредоносной рекламы, продвигающие загрузчик FakeBat (он же EugenLoader) и других похитителей информации, таких как Rhadamanthys, через загрузчик на базе Go через сайты-приманки для популярного программного обеспечения, такого как Notion и PuTTY.
