Eine weit verbreitete Social-Engineering-Kampagne, die zuvor nur auf Windows-Systeme abzielte, hat sich ausgeweitet und nutzt nun gefälschte Browser-Updates, um Atomic Stealer, einen gefährlichen Informationsdiebstahler, auf macOS-Systemen zu verbreiten.
Experten sagen, dass dies das erste Mal sein könnte, dass sie beobachten, wie ein dominanter Social-Engineering-Betrug, der zuvor speziell auf Windows abzielte, auf macOS umsteigt.
Die Malware, auch AMOS genannt, tauchte Anfang des Jahres auf einem speziellen Telegram-Kanal auf. Kriminelle, die die Schadsoftware im Abonnement für etwa 1,000 US-Dollar im Monat mieten können, nutzen seitdem unterschiedliche Mittel zur Verbreitung der Schadsoftware. Die gängigste Taktik bestand darin, die Malware über Installationsprogramme für beliebte Apps oder über angeblich geknackte Versionen von Microsoft Office und anderen weit verbreiteten Anwendungen zu verbreiten.
ClearFake-Kampagne
Diese Woche haben Forscher von Malwarebytes berichtete, er habe beobachtet Ein Bedrohungsakteur, der Atomic Stealer über Hunderte kompromittierter Websites verbreitet, die gefälschte Updates für Chrome- und Safari-Browser bereitstellen. Ein weiterer Sicherheitsforscher, Randy McEoin, ersten spotted die kompromittierten Websites im August und nannte die Malware zur Generierung der gefälschten Browser-Updates „ClearFake“.
Damals beschrieb McEoin ClearFake als Malware, die zunächst normal eine Seite lädt, wenn ein Benutzer eine kompromittierte Website besucht, diese dann aber durch eine Seite ersetzt, die den Benutzer auffordert, seinen Browser zu aktualisieren. Mac-Benutzer, die auf die Aufforderung reagieren, laden letztendlich Atomic Stealer auf ihre Systeme herunter, stellte der Sicherheitsforscher fest.
„Dies ist möglicherweise das erste Mal, dass wir sehen, dass eine der wichtigsten Social-Engineering-Kampagnen, die bisher Windows vorbehalten war, nicht nur in Bezug auf die Geolokalisierung, sondern auch auf das Betriebssystem ausgeweitet wird“, sagte Malwarebytes-Forscher Jerome Segura diese Woche in einem Blog.
Laut Segura ist die Safari-Vorlage, die eine von ClearFake kompromittierte Website bereitstellt, mit der auf der offiziellen Website von Apple identisch und in mehreren Sprachen verfügbar. Es gibt auch eine Vorlage für Google Chrome für Mac-Benutzer, die der für Windows-Benutzer verwendeten sehr ähnlich ist, sagte Segura.
Die Nutzlast für Mac-Benutzer ist eine Disk-Image-Datei (DMG), die als Browser-Update getarnt ist und Anweisungen für Benutzer zum Öffnen enthält. Beim Öffnen fordert die Datei sofort zur Eingabe des Administratorkennworts auf und führt dann Befehle aus, um Daten vom System zu stehlen. Malwarebytes-Forscher beobachteten Befehle zum Stehlen von Passwörtern und zum Erfassen verschiedener Dateien von einem kompromittierten System und deren Weiterleitung an einen Remote-Befehls- und Kontrollserver.
„One-Hit Smash and Grab“
SentinelOne, welches die Malware verfolgt, hat beschrieben, dass Atomic Stealer in der Lage ist, Kontopasswörter, Browserdaten, Sitzungscookies und Kryptowährungs-Wallets zu stehlen. Der Sicherheitsanbieter berichtete, im Mai 300 bis zu 2023 Abonnenten für Atomic Stealer auf dem Telegram-Kanal des Autors gesehen zu haben. Die Analyse der Malware ergab, dass es mindestens zwei Versionen von Atomic Stealer gab, von denen eine in einem Spielinstallationsprogramm versteckt war. SentinelOne hat herausgefunden, dass diese Version der Malware offenbar speziell dafür entwickelt wurde, Informationen von Spielern und Benutzern von Kryptowährungen zu stehlen.
Ein Verhalten von Atomic Stealer, das SentinelOne in seinem Bericht hervorhob, war das Fehlen jeglichen Versuchs der Malware, sich auf einem kompromittierten Computer dauerhaft anzusiedeln. Stattdessen schien die Malware auf dem zu basieren, was SentinelOne als „One-Hit-Smash-and-Grab-Methodik“ über AppleScript-Spoofing bezeichnete.
„Gefälschte Browser-Updates sind seit Jahren ein häufiges Thema für Windows-Benutzer“, bemerkte Segura. Doch bis zur ClearFake-Kampagne haben Bedrohungsakteure den Vektor nicht zur Verbreitung von macOS-Malware genutzt. „Die Beliebtheit von Stealern wie AMOS macht es recht einfach, die Nutzlast mit geringfügigen Anpassungen an verschiedene Opfer anzupassen“, sagte er.
Die neue Malware und Kampagne sind nur die jüngste Manifestation dessen, was einige als größeres Interesse der Bedrohungsakteure an macOS-Systemen bezeichnet haben. Im August berichtete Accenture a 1,000% Zunahme Accenture stellte fest, dass es seit 2019 immer mehr Bedrohungsakteure gibt, die das Betriebssystem ins Visier nehmen. Unter ihnen war ein Angreifer, der bis zu 1 Million US-Dollar für einen funktionierenden Exploit für macOS bot. „Besorgniserregend ist die Entstehung etablierter Akteure „Mit gutem Ruf und großen Budgets suchen sie nach Exploits und anderen Methoden, die es ihnen ermöglichen würden, die Sicherheitsfunktionen von macOS zu umgehen“, sagte Accenture.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.darkreading.com/attacks-breaches/threat-actor-using-fake-browser-updates-to-distribute-mac-infostealer
