Los anuncios maliciosos y los sitios web falsos actúan como un conducto para distribuir dos programas maliciosos ladrones diferentes, incluido Atomic Stealer, dirigido a usuarios de Apple macOS.
Los ataques de robo de información en curso dirigidos a usuarios de macOS pueden haber adoptado diferentes métodos para comprometer las Mac de las víctimas, pero operan con el objetivo final de robar datos confidenciales, Jamf Threat Labs dicho en un informe publicado el viernes.
Una de esas cadenas de ataques se dirige a los usuarios que buscan Arc Browser en motores de búsqueda como Google para publicar anuncios falsos que redirigen a los usuarios a sitios similares («airci[.]net») que sirve el malware.
«Curiosamente, no se puede acceder directamente al sitio web malicioso, ya que devuelve un error», dijeron los investigadores de seguridad Jaron Bradley, Ferdous Saljooki y Maggie Zirnhelt. «Sólo se puede acceder a través de un enlace patrocinado generado, presumiblemente para evadir la detección».
El archivo de imagen de disco descargado del sitio web falsificado («ArcSetup.dmg») entrega Ladrón atómicoque se sabe que solicita a los usuarios que ingresen sus contraseñas del sistema mediante un mensaje falso y, en última instancia, facilita el robo de información.
Jamf dijo que también descubrió un sitio web falso llamado meethub.[.]gg que afirma ofrecer un software gratuito para programar reuniones grupales, pero en realidad instala otro malware ladrón capaz de recopilar datos de llavero de los usuarios, credenciales almacenadas en navegadores web e información de billeteras de criptomonedas.
Al igual que Atomic Stealer, el malware, que se dice que se superpone con una familia de ladrones basada en Rust conocida como real – también solicita al usuario su contraseña de inicio de sesión de macOS mediante una llamada de AppleScript para llevar a cabo sus acciones maliciosas.
Se dice que los ataques que aprovechan este malware se han acercado a las víctimas con el pretexto de discutiendo oportunidades laborales y entrevistándolos para un podcastpidiéndoles posteriormente que descarguen una aplicación de Meethub.[.]gg para unirse a una videoconferencia proporcionada en las invitaciones a la reunión.
«Estos ataques a menudo se centran en aquellos en la industria de la criptografía, ya que tales esfuerzos pueden generar grandes pagos para los atacantes», dijeron los investigadores. «Aquellos en la industria deben ser muy conscientes de que a menudo es fácil encontrar información pública que indique que son poseedores de activos o que pueden vincularse fácilmente a una empresa que los coloca en esta industria».
El desarrollo se produce cuando la división de ciberseguridad de MacPaw, Moonlock Lab, reveló que los actores de amenazas están utilizando archivos DMG maliciosos («App_v1.0.4.dmg») para implementar un malware ladrón diseñado para extraer credenciales y datos de varias aplicaciones.
Esto se logra mediante un AppleScript ofuscado y una carga útil bash que se recupera de una dirección IP rusa, la primera de las cuales se utiliza para iniciar un mensaje engañoso (como se mencionó anteriormente) para engañar a los usuarios para que proporcionen las contraseñas del sistema.
«Disfrazado de un archivo DMG inofensivo, engaña al usuario para que realice la instalación mediante una imagen de phishing, persuadiéndolo a eludir la función de seguridad Gatekeeper de macOS», dijo el investigador de seguridad Mykhailo Hrebeniuk.
El desarrollo es una indicación de que los entornos macOS están cada vez más amenazados por ataques de ladrones, y algunas cepas incluso se jactan de sofisticadas técnicas antivirtualización activando un interruptor de apagado autodestructivo para evadir la detección.
En las últimas semanas, también se han observado campañas de publicidad maliciosa que impulsan la murciélago falso cargador (también conocido como EugenLoader) y otros ladrones de información como Radamantis a través de un cargador basado en Go a través de sitios señuelo para software popular como Noción y Masilla.