Новая угроза для пользователей macOS: вредоносные обновления поисковиков
24/11/23
Специалисты в области кибербезопасности обнаружили новую угрозу для пользователей macOS. Вредоносное ПО Atomic Stealer, известное также как AMOS, теперь распространяется посредством фальшивых обновлений для веб-браузеров. Это происходит в рамках кампании, получившей название ClearFake, пишет Securitylab.
Исследование проводили аналитики из компании Malwarebytes.
Впервые Atomic Stealer был зафиксирован в апреле 2023 года. Это коммерческое вредоносное ПО предлагается по подписке за 1000 долларов в месяц и направлено на кражу криптовалюты и чувствительных данных с веб-серверов. Например, логинов от различных платформ, паролей, файлов куки и информации банковских карт.
В сентябре команда Malwarebytes сообщила еще об одной операции с применением Atomic. Тогда мошенники создавали поддельные рекламные объявления в Google. Жертвами становились пользователи, которые искали в сети финансовую платформу для анализа графиков – TradingView.
Для ClearFake злоумышленники немного подкорректировали свой подход. Теперь они используют скомпрометированные сайты на WordPress для размещения фиктивных уведомлений с просьбами обновить Chrome или Firefox.
Стоит упомянуть, что раньше Atomic распространялся в основном на устройствах с Windows, но в этом случае под прицелом оказались и системы Mac.
Очевидно, вместо обновления на компьютере жертвы по клику запускается установка зловредной программы. Atomic Stealer доставляется на устройство в форме файла с расширением DMG.
ClearFake присоединяется к списку угроз, в который уже входят такие группы, как TA569, RogueRaticate, ZPHP и EtherHiding, известные использованием ложных обновлений браузера в своих злонамеренных целях.
Недавно также были исследованы обновления во вредоносной программе LummaC2 stealer. Теперь для обхода антивирусов она использует уникальный метод, основанный на принципах тригонометрии. ПО активируется только при обнаружении действий, похожих на активность настоящего пользователя. Кроме того, разработчики LummaC2 stealer добавили функцию, позволяющую собирать с Google аккаунтов данные куки, которые остаются действительными даже если жертва изменит пароль.