观察到一个新的恶意广告活动分发了一个名为Atomic Stealer(或AMOS)的macOS窃取恶意软件的更新版本,表明其作者正在积极维护它。
Atomic Stealer 是一种现成的 Golang 恶意软件,每月售价 1,000 美元,于 2023 年 <> 月首次曝光。此后不久,在野外发现了具有扩展信息收集功能的新变种,针对游戏玩家和加密货币用户。
通过 Google Ads 的恶意广告已被观察到是主要的分发媒介,其中用户在搜索引擎上搜索流行软件(合法或破解)会显示虚假广告,这些广告指向托管流氓安装程序的网站。
最新的活动涉及使用TradingView的欺诈性网站,突出地具有三个按钮,用于下载Windows,macOS和Linux操作系统的软件。
“Windows和Linux按钮都指向Discord上托管的MSIX安装程序,该安装程序会丢弃NetSupport RAT,”Malwarebytes威胁情报总监Jérôme Segura说。
macOS有效负载(“TradingView.dmg”)是6月底发布的新版本Atomic Stealer,它捆绑在一个临时签名应用程序中,一旦执行,就会提示用户在虚假提示下输入密码并收集文件以及存储在iCloud钥匙串和Web浏览器中的数据。
“原子窃取程序还针对 Chrome 和 Firefox 浏览器,并有一个广泛的硬编码列表,其中包含要攻击的与加密相关的浏览器扩展程序,”SentinelOne 此前在 2023 年 <> 月指出。部分变体还针对Coinomi钱包。
攻击者的最终目标是绕过macOS中的网守保护,并将被盗信息泄露到他们控制的服务器上。
随着macOS越来越成为恶意软件攻击的可行目标,最近几个月,许多macOS特定的信息窃取者出现在犯罪软件论坛上出售,以利用Apple系统在组织中的广泛可用性。
“虽然Mac恶意软件确实存在,但它往往比Windows恶意软件更少被检测到,”Segura说。“AMOS的开发商或销售商实际上将其作为他们的工具包能够逃避检测的卖点。
Atomic Stealer并不是唯一通过恶意广告和搜索引擎优化(SEO)中毒活动传播的恶意软件,因为有证据表明DarkGate(又名MehCrypter)锁定了相同的交付机制。
新版本的DarkGate已被用于威胁行为者的攻击,采用类似于Scattered Spider的策略,怡安的Stroz Friedberg事件响应服务上个月表示。