Malware Atomic Stealer ataca macOS via atualizações falsas de navegador

malware-atomic-stealer-ataca-macos-via-atualizacoes-falsas-de-navegador

Uma falsa campanha de atualização do navegador ClearFake se expandiu para o macOS, visando computadores Apple com malware Atomic Stealer (AMOS). Essa campanha ClearFake começou em julho deste ano para atingir usuários do Windows com avisos falsos de atualização do Chrome que aparecem em sites violados por meio de injeções de JavaScript.

Em outubro de 2023, o Guardio Labs (Via: Bleeping Computer) descobriu um desenvolvimento significativo para a operação maliciosa, que aproveitou os contratos da Binance Smart Chain para ocultar seus scripts maliciosos que apoiam a cadeia de infecção no blockchain. Por meio dessa técnica, apelidada de “EtherHiding”, os operadores distribuíram cargas direcionadas ao Windows, incluindo malwares que roubam informações, como RedLine, Amadey e Lumma.

Expandindo para macOS

Em 17 de novembro de 2023, o analista de ameaças Ankit Anubhav relatou que ClearFake começou a enviar cargas DMG para usuários do macOS que visitam sites comprometidos. Um relatório do Malwarebytes do início desta semana confirma esse desenvolvimento, relatando que esses ataques empregam uma isca de atualização do Safari junto com a sobreposição padrão do Chrome.

malware-atomic-stealer-ataca-macos-via-atualizacoes-falsas-de-navegador
Imagem: Reprodução | Bleeping Computer

A carga descartada nesses casos é o Atomic, um malware de roubo de informações vendido a cibercriminosos por meio de canais do Telegram por US$ 1.000/mês (cerca de R$ 4,9 mil). O Atomic foi descoberto em abril de 2023 por Trellix e Cyble, que relataram que ele tenta roubar senhas, cookies e cartões de crédito armazenados em navegadores, arquivos locais, dados de mais de 50 extensões de criptomoeda e senhas de chaves.

O gerenciador de senhas integrado do macOS que contém senhas de WiFi, logins de sites, dados de cartão de crédito e outras informações criptografadas, portanto, seu comprometimento pode resultar em uma violação significativa para a vítima. O exame das strings da carga útil pelo Malwarebyte revela uma série de comandos para extrair dados confidenciais, como senhas, e direcionar arquivos de documentos, imagens, arquivos de carteira criptografada e chaves.

A campanha ClearFake espalhando o malware Atomic Stealer no macOS

A campanha ClearFake agora voltada para Macs é um lembrete para os usuários da Apple fortalecerem sua segurança e terem cuidado com os downloads, especialmente com avisos para atualizar seu navegador ao visitar sites.

Mesmo depois de vários meses após a descoberta e os relatórios do Atomic, a carga útil não é detectada por cerca de 50% dos mecanismos AV no VirusTotal. Além disso, todas as atualizações do navegador Safari serão distribuídas por meio da Atualização de Software do macOS ou, para outros navegadores, dentro do próprio navegador.

Assim, caso você receba alguma solicitação para baixar atualizações do navegador em sites, ela deverá ser ignorada.

Acesse a versão completa
Sair da versão mobile