恶意广告和虚假网站充当传播两种不同窃取恶意软件的渠道,其中包括针对 Apple macOS 用户的 Atomic Stealer。
Jamf 威胁实验室在周五发布的一份报告中表示,针对 macOS 用户的持续信息窃取者攻击可能采用了不同的方法来危害受害者的 Mac,但其最终目标是窃取敏感数据。
此类攻击链的目标是在 Google 等搜索引擎上搜索 Arc Browser 的用户,以提供虚假广告,将用户重定向到提供恶意软件服务的相似网站(“airci[.]net”)。
安全研究人员 Jaron Bradley、Ferdous Saljooki 和 Maggie Zirnhelt 表示:“有趣的是,该恶意网站无法直接访问,因为它会返回错误。” “它只能通过生成的赞助链接访问,大概是为了逃避检测。”
从假冒网站(“ArcSetup.dmg”)下载的磁盘映像文件提供了Atomic Stealer,它会通过虚假提示要求用户输入系统密码,最终促进信息盗窃。
Jamf 表示,它还发现了一个名为 meethub[.]gg 的虚假网站,该网站声称提供免费的团体会议安排软件,但实际上安装了另一种窃取恶意软件的软件,该恶意软件能够收集用户的钥匙串数据、网络浏览器中存储的凭据以及加密货币钱包中的信息。
与 Atomic 窃取程序非常相似,该恶意软件(据说与基于 Rust 的名为Realst 的窃取程序系列重叠)也会使用 AppleScript 调用提示用户输入 macOS 登录密码,以执行其恶意操作。
据称,利用该恶意软件的攻击以讨论工作机会和采访播客为借口接近受害者,随后要求他们从 meethub[.]gg 下载应用程序以参加会议邀请中提供的视频会议。
研究人员表示:“这些攻击通常集中在加密货币行业,因为此类攻击可能会给攻击者带来巨额损失。” “业内人士应该高度意识到,通常很容易找到他们是资产持有者的公开信息,或者很容易与将他们置于该行业的公司联系在一起。”
MacPaw 的网络安全部门 Moonlock Lab 披露,恶意 DMG 文件(“App_v1.0.4.dmg”)正被威胁行为者用来部署窃取恶意软件,该恶意软件旨在从各种应用程序中提取凭据和数据。
这是通过从俄罗斯 IP 地址检索到的混淆的 AppleScript 和 bash 有效负载来实现的,前者用于启动欺骗性提示(如上所述)来诱骗用户提供系统密码。
安全研究员 Mykhailo Hrebeniuk 表示:“它伪装成无害的 DMG 文件,通过网络钓鱼图像诱骗用户进行安装,从而说服用户绕过 macOS 的 Gatekeeper 安全功能。”
这一进展表明,macOS 环境越来越受到窃取者攻击的威胁,有些菌株甚至通过激活自毁式终止开关来逃避检测,从而拥有复杂的反虚拟化技术。
最近几周,还观察到恶意广告活动通过基于 Go 的加载程序通过Notion和PuTTY等流行软件的诱饵网站推送FakeBat加载程序(又名EugenLoader)和其他信息窃取程序(例如Rhadamanthys)。
发表评论
您还未登录,请先登录。
登录