Advertencia a los usuarios Mac campaña de publicidad maliciosa propaga el malware Atomic Stealer macOS

Se ha observado una nueva campaña de publicidad maliciosa que distribuye una versión actualizada de un malware stealer de macOS llamado Atomic Stealer (o AMOS), lo que indica que su autor lo mantiene activamente.

Un malware Golang disponible por $ 1,000 por mes, Atomic Stealer salió a la luz por primera vez en abril de 2023. Poco después, se detectaron nuevas variantes con un conjunto ampliado de funciones de recopilación de información en la naturaleza, dirigidas a usuarios de criptomonedas.

La publicidad maliciosa a través de Google Ads se ha observado como el principal vector de distribución en el que los usuarios que buscan software popular, legítimo o agrietado, en los motores de búsqueda muestran anuncios falsos que dirigen a sitios web que alojan instaladores deshonestos.

La última campaña implica el uso de un sitio web fraudulento para TradingView, que destaca tres botones para descargar el software para los sistemas operativos Windows, macOS y Linux.

“Tanto los botones de Windows como los de Linux apuntan a un instalador MSIX alojado en Discord que deposita NetSupport RAT”, dijo Jérôme Segura, director de inteligencia de amenazas de Malwarebytes.

La carga útil de macOS (“TradingView.dmg”) es una nueva versión de Atomic Stealer lanzada a finales de junio, que se incluye en una aplicación firmada ad-hoc que, una vez ejecutada, solicita a los usuarios que ingresen su contraseña en un mensaje falso y recopilen archivos, así como datos almacenados en iCloud Keychain y navegadores web.

Atomic Stealer macOS Malware

“Atomic stealer también se dirige a los navegadores Chrome y Firefox y tiene una extensa lista codificada de extensiones de navegador relacionadas con criptografía para atacar”, señaló SentinelOne anteriormente en mayo de 2023. Algunas variantes también se han dirigido a las carteras Coinomi.

El objetivo final del atacante es eludir las protecciones de Gatekeeper en macOS y filtrar la información robada a un servidor bajo su control.

El desarrollo se produce cuando macOS se está convirtiendo cada vez más en un objetivo viable de ataques de malware, con una serie de ladrones de información específicos de macOS que aparecen a la venta en foros de crimeware en los últimos meses para aprovechar la amplia disponibilidad de los sistemas Apple en las organizaciones.

“Si bien el malware para Mac realmente existe, tiende a ser menos detectado que su contraparte de Windows”, dijo Segura. “El desarrollador o vendedor de AMOS realmente hizo un punto de venta que su kit de herramientas es capaz de evadir la detección”.

Atomic Stealer no es el único malware propagado a través de campañas de publicidad maliciosa y envenenamiento de optimización de motores de búsqueda (SEO), ya que ha surgido evidencia de que DarkGate (también conocido como MehCrypter) se aferra al mismo mecanismo de entrega.

Desde entonces, se han empleado nuevas versiones de DarkGate en ataques montados por actores de amenazas que emplean tácticas similares a las de Scattered Spider, dijo el mes pasado Stroz Friedberg Incident Response Services de Aon.

También se ha observado que DarkGate se propaga a través de campañas de ingeniería social utilizando mensajes de chat con temas de recursos humanos enviados a través de Microsoft Teams, según Truesec, amplificando su amenaza potencial e indicando que el cargador está siendo utilizado por múltiples actores de amenazas a través de varios canales de infección.

Related Posts
Clear Filters
Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.