恶意广告和虚假网站正在充当传播两种不同的窃取恶意软件的渠道,包括针对苹果macOS用户的Atomic Steiner。
Jamf Threat Labs在周五发布的一份报告中表示,针对macOS用户的持续信息窃取攻击可能采用了不同的方法来危害受害者的Mac电脑,但其最终目标是窃取敏感数据。
其中一个攻击链的目标是在谷歌等搜索引擎上搜索Arc Browser的用户,以提供虚假广告,将用户重定向到提供恶意软件的类似网站(“airci[.]net”)。
安全研究人员Jaron Bradley、Ferdous Saljooki和Maggie Zirnhelt表示:“有趣的是,恶意网站无法直接访问,因为它会返回错误。”。“它只能通过生成的赞助链接访问,可能是为了逃避检测。”
从假冒网站(“ArcSetup.dmg”)下载的磁盘映像文件提供了Atomic Steiner,众所周知,它会要求用户通过虚假提示输入系统密码,并最终为信息盗窃提供便利。
Jamf表示,它还发现了一个名为meethub[.]gg的虚假网站,该网站声称提供免费的小组会议安排软件,但实际上安装了另一个窃取恶意软件,能够获取用户的密钥链数据、网络浏览器中存储的凭据和加密货币钱包中的信息。
与原子窃取程序非常相似,据说该恶意软件与一个名为Realst的基于Rust的窃取程序家族重叠,它还使用AppleScript调用提示用户输入macOS登录密码,以执行其恶意操作。
据说,利用这种恶意软件的攻击以讨论工作机会和面试播客为借口接近受害者,随后要求他们从meethub[.]gg下载应用程序,加入会议邀请中提供的视频会议。
研究人员表示:“这些攻击通常集中在加密货币行业,因为这些攻击可能会给攻击者带来巨额损失。”。“业内人士应该高度意识到,通常很容易找到他们是资产持有人的公开信息,或者很容易与将他们放在这个行业的公司联系在一起。”
这一进展发生之际,MacPaw的网络安全部门Moonlock Lab披露,恶意DMG文件(“App_v1.0.4.DMG”)正被威胁行为者用来部署一种旨在从各种应用程序中提取凭据和数据的窃取恶意软件。
这是通过从俄罗斯IP地址检索的模糊AppleScript和bash有效载荷来实现的,前者用于启动欺骗性提示(如上所述),诱骗用户提供系统密码。
安全研究人员Mykhailo Hrebeniuk说:“它伪装成一个无害的DMG文件,通过网络钓鱼图像诱骗用户安装,说服用户绕过macOS的Gatekeeper安全功能。”。
这一发展表明,macOS环境越来越受到窃取攻击的威胁,一些菌株甚至通过激活自毁终止开关来逃避检测,从而吹嘘其先进的反虚拟化技术。
最近几周,还观察到了恶意广告活动,通过基于Go的加载程序将FakeBat加载程序(又名EugenLoader)和Rhadamanthys等其他信息窃取者推送到Notion和PuTTY等流行软件的诱饵网站。
📮评论