摘要
恶意广告和虚假网站充当了传递两种不同窃取恶意软件的渠道,包括针对苹果macOS用户的原子窃取器。
Jamf威胁实验室在发布的一份报告中表示,针对macOS用户正在进行的信息窃取攻击可能采用了不同的方法来破坏受害者的Mac电脑,但最终目标是窃取敏感数据。
其中一个攻击链的目标是在谷歌等搜索引擎上搜索Arc Browser的用户,为他们提供虚假广告,将用户重定向到提供恶意软件的类似网站(“airci[.]net”)。
安全研究人员Jaron Bradley、Ferdous Saljooki和Maggie Zirnhelt说:“有趣的是,恶意网站无法直接访问,因为它会返回错误。”“它只能通过生成的赞助链接访问,大概是为了逃避检测。”
从伪造网站(“ArcSetup.dmg”)下载的磁盘映像文件会传播原子窃取器,据称它会要求用户通过虚假提示输入系统密码,最终促进信息盗窃。
Jamf表示,它还发现了一个名为meethub[.]net的虚假网站,声称提供免费的群组会议日程安排软件,但实际上安装了另一种窃取者恶意软件,能够收集用户的钥匙链数据、浏览器中存储的凭据和加密货币钱包的信息。
就像原子窃取者一样,这种恶意软件——据说与基于Rust的Realst窃取者家族重叠——还使用AppleScript调用提示用户输入macOS登录密码来执行恶意操作。
据说,利用这种恶意软件的攻击以讨论工作机会和为播客采访他们的借口接近受害者,随后要求他们从meethub[. ]gg下载应用程序,参加会议邀请中提供的视频会议。
“这些攻击往往集中在加密行业的人身上,因为这种努力可以为攻击者带来大量支出,”研究人员说。“该行业的人应该高度警惕,因为通常很容易找到公开信息,表明他们是资产持有人,或者很容易与将他们置于该行业的公司联系起来。”
这一发展正值MacPaw的网络安全部门Moonlock Lab披露,威胁行为者正在使用恶意的DMG文件(“App_v1.0.4.dmg”)部署一种窃取者恶意软件,旨在从各种应用程序中提取凭据和数据。
这是通过从俄罗斯IP地址检索到的混淆的AppleScript和bash有效载荷来实现的,前者被用来启动一个欺骗性的提示(如上所述),以欺骗用户提供系统密码。
“伪装成一个无害的DMG文件,它通过一个钓鱼图像欺骗用户进行安装,说服用户绕过macOS的Gatekeeper安全功能,”安全研究员Mykhailo Hrebeniuk说。
这一发展表明,macOS环境正日益受到窃取者攻击的威胁,一些菌株甚至吹嘘通过激活自毁自杀开关来逃避检测的复杂反虚拟化技术。
最近几周,研究人员还观察到恶意广告活动,通过Notion和PuTTY等流行软件的诱饵站点,通过基于Go的加载器,推动FakeBat加载器(又名EugenLoader)和其他信息窃取器,如Rhadamanthys。
2024.03.29
2024.03.28
2024.03.27
注:本文由E安全编译报道,转载请联系授权并注明来源。