Malwarebytes的研究人员已经观察到一个新的malvertising活动分发流行的原子小偷(AMOS)的Mac的更新版本。
原子偷窃者在2023年4月首次出现在威胁景观中。今年4月,Cyble研究和情报实验室(CRIL)发现了一个Telegram频道,该频道宣传一种新的信息窃取恶意软件,名为Atomic macOS Stealer(AMOS)。该恶意软件的目标是macOS,其目的是从受感染的系统中窃取敏感信息。
研究人员表示,原子窃取者不断被其作者改进。
Atomic macOS Stealer允许操作员从受感染的机器中窃取各种类型的信息,包括钥匙串密码,完整的系统信息,桌面和文档文件夹中的文件,甚至macOS密码。
该恶意软件能够从多个浏览器窃取数据,包括自动填充、密码、cookie、钱包和信用卡信息。AMOS可以针对多个加密钱包,例如Electrum,Binance,Exodus,Atomic和Coinomi。
“TA 还提供其他服务,例如用于管理受害者的网络面板、用于窃取种子和私钥的元掩码暴力破解、加密检查器和 dmg 安装程序,之后它通过 Telegram 共享日志。这些服务的价格为每月1000美元,“Cyble发布的报告写道。
威胁背后的开发团队在 6 月底发布了新版本。
Malwarebytes报告说,威胁行为者一直在通过破解的软件下载或冒充合法网站来分发信息窃取程序,并使用Google等搜索引擎上的广告来诱骗受害者下载它。
Malwarebytes观察到的恶意广告活动主要依靠Google Ads作为分发媒介。搜索流行软件(合法或破解)的用户会收到流氓广告,这些广告指向托管恶意安装程序的网站。
威胁行为者使用TradingView的欺诈性网站,该网站具有三个按钮来下载Windows,macOS和Linux操作系统的软件。
“希望下载新程序的用户自然会转向谷歌并进行搜索。威胁行为者正在购买与知名品牌匹配的广告,并诱骗受害者访问他们的网站,就好像它是官方页面一样。“阅读了Malwarebytes发布的报告。下面的TradingView广告使用特殊字体字符(tradıņgsvıews[.]COM 嵌入了 Unicode 字符:tradıņGSVıews[.]com)也许作为ATT。
Windows和Linux按钮都指向托管在Discord上的MSIX安装程序,该安装程序为NetSupport RAT提供服务。
Mac按钮指向托管在以下位置的安装程序:https://app-downloads[.]org/tview.php
下载的文件(TradingView.dmg)包含绕过安全机制GateKeeper打开它的指令。
“TradingView.dmg”是六月份发布的原子窃贼的一个版本。该恶意软件捆绑在一个专门的签名应用程序中,一旦执行,它将在一个永无止境的循环中提示用户密码,直到受害者最终提供它。
攻击者使用这个技巧来执行恶意软件并窃取受害者的数据,然后立即将其提取回他们的服务器。
“通过滥用他们对搜索引擎的信任,恶意行为仍然是一个有效的媒介,可以将新的受害者作为目标。恶意广告,再加上看上去很专业的网络钓鱼页面,将成为一种强大的组合,几乎可以欺骗任何人。“报告结束。虽然Mac恶意软件确实存在,但它往往比Windows软件更少被检测到。Amos的开发人员或卖方实际上使其工具包能够逃避检测成为一个卖点。”