Een zeer populaire social engineering-campagne die voorheen alleen op Windows-systemen was gericht, heeft zich uitgebreid en gebruikt nu valse browserupdates om Atomic Stealer, een gevaarlijke informatiedief, naar macOS-systemen te verspreiden.
Experts zeggen dat dit de eerste keer zou kunnen zijn dat ze een dominante social engineering-zwendel hebben waargenomen die eerder specifiek op Windows was gericht en de overstap maakt naar macOS.
De malware, ook wel AMOS genoemd, dook eerder dit jaar op op een speciaal Telegram-kanaal. Criminelen, die de malware op abonnementsbasis kunnen huren voor ongeveer $ 1,000 per maand, hebben sindsdien verschillende middelen gebruikt om de malware te verspreiden. De meest gebruikelijke tactiek is het verspreiden van de malware via installatieprogramma's voor populaire apps of via ogenschijnlijk gekraakte versies van Microsoft Office en andere veelgebruikte applicaties.
ClearFake-campagne
Deze week onderzoekers van Malwarebytes gemeld observeren een bedreigingsacteur die Atomic Stealer verspreidt via honderden gecompromitteerde websites die valse updates aanbieden voor Chrome- en Safari-browsers. Een andere beveiligingsonderzoeker, Randy McEoin, eerst gespot de gecompromitteerde websites in augustus en noemde de malware voor het genereren van de nep-browserupdates ‘ClearFake’.
Destijds beschreef McEoin ClearFake als malware die in eerste instantie een pagina normaal laadt wanneer een gebruiker een gecompromitteerde website bezoekt, maar deze vervolgens vervangt door een pagina die de gebruiker vraagt zijn browser bij te werken. Mac-gebruikers die op de prompt reageren, downloaden uiteindelijk Atomic Stealer op hun systemen, merkte de beveiligingsonderzoeker op.
“Dit zou heel goed de eerste keer kunnen zijn dat we een van de belangrijkste social engineering-campagnes, die voorheen gereserveerd waren voor Windows, niet alleen qua geolocatie, maar ook qua besturingssysteem uitbreiden”, zei Malwarebytes-onderzoeker Jerome Segura deze week in een blog.
Volgens Segura is de Safari-sjabloon die een door ClearFake gecompromitteerde website aanbiedt identiek aan die op de officiële website van Apple en is deze beschikbaar in meerdere talen. Er is ook een sjabloon voor Google Chrome voor Mac-gebruikers die sterk lijkt op die voor Windows-gebruikers, zei Segura.
De payload voor Mac-gebruikers is een schijfkopiebestand (DMG) dat zich voordoet als een browserupdate met instructies voor gebruikers over hoe ze het moeten openen. Indien geopend, vraagt het bestand onmiddellijk om het beheerderswachtwoord en voert vervolgens opdrachten uit om gegevens van het systeem te stelen. Malwarebytes-onderzoekers observeerden commando's voor het stelen van wachtwoorden en het pakken van verschillende bestanden van een gecompromitteerd systeem en deze naar een externe command-and-control-server te verzenden.
'One-Hit Smash en Grijp'
SentinelEen, die de malware volgt, heeft Atomic Stealer beschreven als in staat om accountwachtwoorden, browsergegevens, sessiecookies en cryptocurrency-portefeuilles te stelen. De beveiligingsleverancier meldde dat hij in mei 300 maar liefst 2023 abonnees voor Atomic Stealer op het Telegram-kanaal van de auteur had gezien. Uit analyse van de malware bleek dat er minstens twee versies van Atomic Stealer waren, waarvan er één verborgen was in een game-installatieprogramma. SentinelOne ontdekte dat die versie van de malware schijnbaar specifiek was ontworpen om informatie van gamers en cryptocurrency-gebruikers te stelen.
Eén gedrag van Atomic Stealer dat SentinelOne in zijn rapport benadrukte, was het uitblijven van enige poging van de malware om persistentie te verkrijgen op een gecompromitteerde machine. In plaats daarvan leek de malware te vertrouwen op wat SentinelOne omschreef als een “one-hit smash and grab-methodologie” via AppleScript-spoofing.
“Valse browserupdates zijn al jaren een veelvoorkomend thema voor Windows-gebruikers”, aldus Segura. Maar tot aan de ClearFake-campagne hebben cybercriminelen de vector niet gebruikt om macOS-malware te verspreiden. “De populariteit van stealers zoals AMOS maakt het vrij eenvoudig om de lading aan te passen aan verschillende slachtoffers, met kleine aanpassingen”, zei hij.
De nieuwe malware en campagne zijn slechts de nieuwste manifestatie van wat sommigen hebben gerapporteerd als een grotere interesse van bedreigingsactoren in macOS-systemen. In augustus rapporteerde Accenture een 1,000% stijging onder bedreigingsactoren die zich sinds 2019 op het besturingssysteem richten. Onder hen was één aanvaller die tot $ 1 miljoen bood voor een werkende exploit voor macOS, ontdekte Accenture. “Van groot belang is de opkomst van gevestigde spelers met een positieve reputatie en grote budgetten op zoek naar exploits en andere methoden waarmee ze de beveiligingsfuncties van macOS kunnen omzeilen”, aldus Accenture.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/attacks-breaches/threat-actor-using-fake-browser-updates-to-distribute-mac-infostealer
