Los anuncios maliciosos y los sitios web falsos actúan como un conducto para distribuir dos programas maliciosos ladrones diferentes, incluido Atomic Stealer, dirigido a usuarios de Apple macOS.
Los continuos ataques de robo de información dirigidos a usuarios de macOS pueden haber adoptado diferentes métodos para comprometer las Mac de las víctimas, pero operan con el objetivo final de robar datos confidenciales, dijo Jamf Threat Labs en un informe publicado el viernes.
Una de esas cadenas de ataques se dirige a los usuarios que buscan Arc Browser en motores de búsqueda como Google para publicar anuncios falsos que redirigen a los usuarios a sitios similares (“airci[.]net”) que sirve el malware.
“Curiosamente, no se puede acceder directamente al sitio web malicioso, ya que devuelve un error”, dijeron los investigadores de seguridad Jaron Bradley, Ferdous Saljooki y Maggie Zirnhelt. “Sólo se puede acceder a través de un enlace patrocinado generado, presumiblemente para evadir la detección”.
El archivo de imagen de disco descargado del sitio web falsificado (“ArcSetup.dmg”) entrega Atomic Stealer, que solicita a los usuarios que ingresen sus contraseñas del sistema a través de un mensaje falso y, en última instancia, facilita el robo de información.
Jamf dijo que también descubrió un sitio web falso llamado meethub.[.]gg que afirma ofrecer un software gratuito para programar reuniones grupales, pero en realidad instala otro malware ladrón capaz de recopilar datos de llavero de los usuarios, credenciales almacenadas en navegadores web e información de billeteras de criptomonedas.
Al igual que Atomic Stealer, el malware, que se dice que se superpone con una familia de ladrones basada en Rust conocida como Realst, también solicita al usuario su contraseña de inicio de sesión de macOS mediante una llamada AppleScript para llevar a cabo sus acciones maliciosas.
Se dice que los ataques que aprovechan este malware se acercaron a las víctimas con el pretexto de discutir oportunidades laborales y entrevistándolos para un podcastposteriormente pidiéndoles que descarguen una aplicación de Meethub[.]gg para unirse a una videoconferencia proporcionada en las invitaciones a la reunión.
“Estos ataques a menudo se centran en aquellos en la industria de la criptografía, ya que tales esfuerzos pueden generar grandes pagos para los atacantes”, dijeron los investigadores. “Aquellos en la industria deberían ser muy conscientes de que a menudo es fácil encontrar información pública que indique que son poseedores de activos o que pueden vincularse fácilmente a una empresa que los coloca en esta industria”.
El desarrollo se produce cuando la división de ciberseguridad de MacPaw, Moonlock Lab, reveló que los actores de amenazas están utilizando archivos DMG maliciosos (“App_v1.0.4.dmg”) para implementar un malware ladrón diseñado para extraer credenciales y datos de varias aplicaciones.
Esto se logra mediante un AppleScript ofuscado y una carga útil bash que se recupera de una dirección IP rusa, la primera de las cuales se utiliza para iniciar un mensaje engañoso (como se mencionó anteriormente) para engañar a los usuarios para que proporcionen las contraseñas del sistema.
“Disfrazado de un archivo DMG inofensivo, engaña al usuario para que realice la instalación mediante una imagen de phishing, persuadiéndolo a eludir la función de seguridad Gatekeeper de macOS”, dijo el investigador de seguridad Mykhailo Hrebeniuk.
El desarrollo es una indicación de que los entornos macOS están cada vez más amenazados por ataques de ladrones, y algunas cepas incluso se jactan de técnicas sofisticadas antivirtualización al activar un interruptor de apagado autodestructivo para evadir la detección.
En las últimas semanas, también se han observado campañas de publicidad maliciosa que impulsan el cargador FakeBat (también conocido como EugenLoader) y otros ladrones de información como Rhadamanthys a través de un cargador basado en Go a través de sitios señuelo para software popular como Notion y PuTTY.
Fuente Original The Hacker News
