Les publicités malveillantes et les faux sites Web servent de canal pour diffuser deux logiciels malveillants voleurs différents, dont Atomic Stealer, ciblant les utilisateurs d’Apple macOS.

Les attaques d’infostealer en cours ciblant les utilisateurs de macOS ont peut-être adopté différentes méthodes pour compromettre les Mac des victimes, mais fonctionnent dans le but final de voler des données sensibles, a déclaré Jamf Threat Labs dans un rapport publié vendredi.

L’une de ces chaînes d’attaque cible les utilisateurs recherchant Arc Browser sur des moteurs de recherche comme Google pour diffuser de fausses publicités qui redirigent les utilisateurs vers des sites similaires (« airci[.]net ») qui diffusent le malware.

“Il est intéressant de noter que le site Web malveillant n’est pas accessible directement, car il renvoie une erreur”, ont déclaré les chercheurs en sécurité Jaron Bradley, Ferdous Saljooki et Maggie Zirnhelt. “On ne peut y accéder que via un lien sponsorisé généré, probablement pour échapper à la détection.”

Le fichier image disque téléchargé à partir du site Web contrefait (« ArcSetup.dmg ») fournit Atomic Stealer , connu pour demander aux utilisateurs de saisir leurs mots de passe système via une fausse invite et, finalement, faciliter le vol d’informations.

Jamf a déclaré avoir également découvert un faux site Web appelé meethub[.]gg qui prétend offrir un logiciel gratuit de planification de réunions de groupe, mais installe en réalité un autre malware voleur capable de récolter les données du trousseau des utilisateurs, les informations d’identification stockées dans les navigateurs Web et les informations des portefeuilles de crypto-monnaie. .

Tout comme Atomic Steer, le malware – qui chevaucherait une famille de voleurs basée sur Rust connue sous le nom de Realst – demande également à l’utilisateur son mot de passe de connexion macOS à l’aide d’un appel AppleScript pour effectuer ses actions malveillantes.

Les attaques exploitant ce malware auraient contacté les victimes sous prétexte de discuter d’opportunités d’emploi et de les interviewer pour un podcast , leur demandant ensuite de télécharger une application depuis meethub[.]gg pour rejoindre une vidéoconférence fournie dans les invitations à la réunion.

“Ces attaques se concentrent souvent sur les acteurs du secteur de la cryptographie, car de tels efforts peuvent générer des paiements importants pour les attaquants”, ont déclaré les chercheurs. “Les acteurs du secteur doivent être parfaitement conscients du fait qu’il est souvent facile de trouver des informations publiques indiquant qu’ils sont détenteurs d’actifs ou qu’ils peuvent facilement être liés à une entreprise qui les place dans ce secteur.”

Cette évolution intervient alors que la division de cybersécurité de MacPaw, Moonlock Lab, a révélé que des fichiers DMG malveillants (« App_v1.0.4.dmg ») sont utilisés par des acteurs malveillants pour déployer un malware voleur conçu pour extraire des informations d’identification et des données de diverses applications.

Ceci est accompli au moyen d’une charge utile AppleScript et bash obscurcie qui est récupérée à partir d’une adresse IP russe, la première étant utilisée pour lancer une invite trompeuse (comme mentionné ci-dessus) pour inciter les utilisateurs à fournir les mots de passe du système.

“Déguisé en fichier DMG inoffensif, il incite l’utilisateur à l’installer via une image de phishing, le persuadant de contourner la fonction de sécurité Gatekeeper de macOS”, a déclaré le chercheur en sécurité Mykhailo Hrebeniuk.

Ce développement indique que les environnements macOS sont de plus en plus menacés par les attaques de voleurs, certaines variétés se vantant même de techniques anti-virtualisation sophistiquées en activant un kill switch autodestructeur pour échapper à la détection.

Ces dernières semaines, des campagnes de publicité malveillante ont également été observées poussant le chargeur FakeBat (alias EugenLoader ) et d’autres voleurs d’informations comme Rhadamanthys via un chargeur basé sur Go via des sites leurres pour des logiciels populaires tels que Notion et PuTTY .