MacOS – adatlopó kampányok

A Jamf Threat Labs kutatói egy sor kifinomult malware-támadást fedeztek fel, amelyek az Apple macOS-felhasználókat célozzák meg, és rosszindulatú hirdetéseket és hamis weboldalakat használnak fel az infólopó malware, köztük az Atomic Stealer nevű változat terjesztésére. Az egyik figyelemre méltó támadási módszer a Google keresési találatokon megjelenő szponzorált hirdetésekkel való becsapás. Például amikor a felhasználók az “Arc Browser” keresőszóra keresnek, szponzorált hirdetésekkel találkozhatnak, amelyek egy megtévesztő webhelyre vezetik őket, amelyet úgy terveztek, hogy a törvényes Arc böngésző webhelyét utánozza. Ez a megközelítés különösen alattomos, mivel a rosszindulatú webhely, amely az Arc böngésző macOS-re készült, kompromittált verzióját terjeszti, csak a szponzorált linken keresztül érhető el, így hagyományos eszközökkel nehéz felismerni.

Ezek a támadások többrétűek, ad-hoc aláírt lemezképfájlokat használnak a macOS Gatekeeper biztonsági funkciójának megkerülésére, és xor kódolást használnak a biztonsági szoftverek statikus észlelésének kijátszására. Az azonosított kártevő-változatok, köztük az Atomic Stealer egy új iterációja, kifinomult technikákat alkalmaznak érzékeny információk, például bejelentkezési adatok, hitelkártyaadatok és kriptopénz-tárcaadatok ellopására. Egy másik támadási vektorban a csalók közvetlenül lépnek kapcsolatba az áldozatokkal, és találkozók szervezését vagy munkalehetőségek megvitatását színlelve ráveszik őket, hogy töltsenek le rosszindulatú szoftverekkel terhelt virtuális találkozószoftvert olyan oldalakról, mint a meethub[.]gg. A taktikák, eszközök és az ezekben a támadásokban használt programozási nyelv hasonlósága arra utal, hogy a támadók esetleg más ismert rosszindulatú programtörzsekkel állnak kapcsolatban, ami aláhúzza a macOS-felhasználókat fenyegető, fejlődő fenyegetések és a kriptovaluta-szektorban tevékenykedő egyénekre összpontosító támadások lehetőségét.

(forrás)