Usuários do macOS estão sendo alvos de uma nova campanha de malware. Anúncios maliciosos e sites falsos estão agindo como um canal para entregar dois malwares ladrões diferentes, incluindo o Atomic Stealer, direcionado a usuários do Apple macOS.
Anúncios maliciosos espalhando malware no macOS
Os contínuos ataques de infostealer direcionados a usuários do macOS podem ter adotado métodos diferentes para comprometer os Macs das vítimas, mas operam com o objetivo final de roubar dados confidenciais, disse o Jamf Threat Labs em um relatório publicado na sexta-feira. Uma dessas cadeias de ataque tem como alvo os usuários que procuram o Arc Browser em mecanismos de busca como o Google para veicular anúncios falsos que redirecionam os usuários para sites semelhantes (“airci[.]net”) que veiculam o malware.
O arquivo de imagem de disco baixado do site falsificado (“ArcSetup.dmg”) fornece o Atomic Stealer, que é conhecido por solicitar que os usuários insiram as senhas do sistema por meio de um prompt falso e, em última análise, facilita o roubo de informações.
Jamf disse que também descobriu um site falso chamado meethub[.]gg que afirma oferecer um software gratuito de agendamento de reuniões em grupo, mas na verdade instala outro malware ladrão capaz de coletar dados de chaves de usuários, credenciais armazenadas em navegadores da web e informações de carteiras de criptomoedas.
Muito parecido com o Atomic stealer, o malware também solicita ao usuário sua senha de login do macOS usando uma chamada AppleScript para realizar suas ações maliciosas. Diz-se que os ataques que utilizam esse malware abordaram as vítimas sob o pretexto de discutir oportunidades de emprego e entrevistá-las para um podcast, solicitando-lhes posteriormente que baixassem um aplicativo do meethub[.]gg para participar de uma videoconferência fornecida nos convites da reunião.
“Esses ataques geralmente se concentram na indústria de criptografia, pois tais esforços podem levar a grandes pagamentos aos invasores”, disseram os pesquisadores.
Aqueles que trabalham no setor deveriam estar hiperconscientes de que muitas vezes é fácil encontrar informações públicas de que são detentores de ativos ou podem facilmente estar vinculados a uma empresa que os coloca neste setor.
O desenvolvimento
O desenvolvimento ocorre no momento em que a divisão de segurança cibernética da MacPaw, Moonlock Lab, revela que arquivos DMG maliciosos (“App_v1.0.4.dmg”) estão sendo usados por agentes de ameaças para implantar um malware ladrão projetado para extrair credenciais e dados de vários aplicativos. Isso é feito por meio de um AppleScript ofuscado e uma carga bash recuperada de um endereço IP russo, o primeiro dos quais é usado para lançar um prompt enganoso (como mencionado acima) para induzir os usuários a fornecerem as senhas do sistema.
“Disfarçado como um arquivo DMG inofensivo, ele engana o usuário para que o instale por meio de uma imagem de phishing, persuadindo-o a ignorar o recurso de segurança Gatekeeper do macOS”, disse o pesquisador de segurança Mykhailo Hrebeniuk.
