Была замечена новая вредоносная кампания, распространяющая обновленную версию вредоносного ПО macOS stealer под названием Atomic Stealer (или AMOS), что указывает на активную поддержку его автором.
Готовое вредоносное ПО Golang, доступное за 1000 долларов в месяц, Atomic Stealer впервые появилось в продаже в апреле 2023 года. Вскоре после этого были обнаружены новые варианты с расширенным набором функций сбора информации, предназначенные для геймеров и пользователей криптовалют.
Вредоносная реклама через Google Ads была замечена в качестве основного вектора распространения, при котором пользователям, ищущим популярное программное обеспечение, законное или взломанное, в поисковых системах, показываются поддельные объявления, которые направляются на сайты, на которых размещены установщики-мошенники.
Последняя кампания предполагает использование мошеннического веб-сайта TradingView, на котором заметно представлены три кнопки для загрузки программного обеспечения для операционных систем Windows, macOS и Linux.
"Кнопки Windows и Linux указывают на установщик MSIX, размещенный на Discord, который удаляет NetSupport RAT", - сказал Жером Сегура, директор по анализу угроз Malwarebytes.
Полезная нагрузка macOS ("TradingView.dmg") - это новая версия Atomic Stealer, выпущенная в конце июня, которая входит в состав специального подписанного приложения, которое после запуска предлагает пользователям ввести свой пароль в поддельном запросе и получить доступ к файлам, а также к данным, хранящимся в цепочке ключей iCloud и веб-браузерах.
"Atomic stealer также нацелен на браузеры Chrome и Firefox и имеет обширный жестко запрограммированный список расширений браузера, связанных с криптографией, для атаки", - ранее отмечал SentinelOne в мае 2023 года. Некоторые варианты также нацелены на кошельки Coinomi.
Конечная цель злоумышленника - обойти защиту Gatekeeper в macOS и перенести украденную информацию на сервер, находящийся под их контролем.
Развитие происходит по мере того, как macOS все больше становится уязвимой мишенью для вредоносных атак, а в последние месяцы на форумах crimeware появилось в продаже несколько программ для кражи информации для macOS, чтобы воспользоваться широкой доступностью систем Apple в организациях.
"Хотя вредоносное ПО для Mac действительно существует, оно, как правило, обнаруживается реже, чем его аналог для Windows", - сказал Сегура. "Разработчик или продавец AMOS фактически заявил, что их инструментарий способен избежать обнаружения".
Atomic Stealer - не единственное вредоносное ПО, распространяемое с помощью кампаний по вредоносной рекламе и поисковой оптимизации (SEO), отравляющих, поскольку появились доказательства того, что DarkGate (он же MehCrypter) использует тот же механизм доставки.
С тех пор новые версии DarkGate использовались в атаках, организованных злоумышленниками, использующими тактику, аналогичную тактике Scattered Spider, сообщила в прошлом месяце служба реагирования на инциденты Aon Stroz Friedberg.
