Người dùng Mac hãy cẩn thận: Chiến dịch quảng cáo độc hại phát tán phần mềm độc hại Atomic Stealer macOS

Các chuyên gia bảo mật đã quan sát thấy một chiến dịch quảng cáo độc hại mới đang phân phối phiên bản cập nhật của phần mềm độc hại đánh cắp macOS có tên là Atomic Stealer (hoặc AMOS), cho thấy rằng nó đang được tác giả tích cực duy trì.

Một phần mềm độc hại Golang có sẵn với giá 1.000 USD mỗi tháng, Atomic Stealer lần đầu tiên được phát hiện vào tháng 4 năm 2023. Ngay sau đó, các biến thể mới với bộ tính năng thu thập thông tin mở rộng đã được phát hiện trong tự nhiên, nhắm mục tiêu vào các game thủ và người dùng tiền điện tử. .

Quảng cáo độc hại thông qua Google Ads được coi là vectơ phân phối chính trong đó người dùng tìm kiếm phần mềm phổ biến, hợp pháp hoặc bị bẻ khóa, trên các công cụ tìm kiếm sẽ hiển thị các quảng cáo không có thật hướng đến các trang web lưu trữ trình cài đặt lừa đảo.

Chiến dịch mới nhất liên quan đến việc sử dụng một trang web lừa đảo cho TradingView, nổi bật là có ba nút tải xuống phần mềm cho hệ điều hành Windows, macOS và Linux.

Jérôme Segura, giám đốc tình báo mối đe dọa tại Malwarebytes, cho biết: “Cả hai nút Windows và Linux đều trỏ đến trình cài đặt MSIX được lưu trữ trên Discord làm giảm NetSupport RAT”.

Tải trọng macOS ("TradingView.dmg") là phiên bản mới của Atomic Stealer được phát hành vào cuối tháng 6, được gói trong một ứng dụng có chữ ký đặc biệt, sau khi được thực thi sẽ nhắc người dùng nhập mật khẩu của họ trên một lời nhắc giả mạo và thu thập các tệp cũng như dữ liệu được lưu trữ trong Chuỗi khóa iCloud và trình duyệt web.

SentinelOne đã lưu ý trước đó vào tháng 5 năm 2023: “Kẻ đánh cắp nguyên tử cũng nhắm mục tiêu vào cả trình duyệt Chrome và Firefox, đồng thời có một danh sách mở rộng được mã hóa cứng gồm các tiện ích mở rộng trình duyệt liên quan đến tiền điện tử để tấn công”.

Mục tiêu cuối cùng của kẻ tấn công là vượt qua các biện pháp bảo vệ của Gatekeeper trong macOS và lấy thông tin bị đánh cắp đến máy chủ do chúng kiểm soát.

Sự phát triển này diễn ra khi macOS ngày càng trở thành mục tiêu hữu hiệu của các cuộc tấn công bằng phần mềm độc hại, với một số kẻ đánh cắp thông tin dành riêng cho macOS xuất hiện để rao bán trên các diễn đàn phần mềm tội phạm trong những tháng gần đây để tận dụng sự sẵn có rộng rãi của hệ thống Apple trong các tổ chức.

Segura cho biết: “Mặc dù phần mềm độc hại trên Mac thực sự tồn tại nhưng nó có xu hướng ít bị phát hiện hơn so với đối tác Windows”. "Nhà phát triển hoặc người bán AMOS thực sự đã coi đó là một lợi thế để bán bộ công cụ của họ có khả năng tránh bị phát hiện."

Atomic Stealer không phải là phần mềm độc hại duy nhất được phát tán thông qua các chiến dịch đầu độc quảng cáo độc hại và tối ưu hóa công cụ tìm kiếm (SEO), vì đã xuất hiện bằng chứng cho thấy DarkGate (còn gọi là MehCrypter) bám vào cùng một cơ chế phân phối.

Các phiên bản mới của DarkGate kể từ đó đã được sử dụng trong các cuộc tấn công do các tác nhân đe dọa thực hiện bằng các chiến thuật tương tự như Scattered Spider, Dịch vụ ứng phó sự cố Stroz Friedberg của Aon cho biết vào tháng trước.

Người ta cũng quan sát thấy DarkGate đang lan truyền thông qua các chiến dịch kỹ thuật xã hội bằng cách sử dụng tin nhắn trò chuyện có chủ đề nhân sự được gửi qua Microsoft Teams, theo Truesec, khuếch đại mối đe dọa tiềm tàng của nó và chỉ ra rằng trình tải đang được nhiều tác nhân đe dọa sử dụng thông qua các kênh lây nhiễm khác nhau.

Hương – Theo TheHackerNews