Atomic Stealer распространяет вредоносное ПО на Mac посредством ложных загрузок в браузере

Поставщик антивирусного ПО Malwarebytes описал новый вариант Atomic Stealer (также известного как AMOS), который представляет собой вредоносное ПО, нацеленное на пользователей Apple. Новый вариант вредоносного ПО, распространяемый через механизм доставки поддельных обновлений браузера ClearFake, рекламирует себя как обновления для браузера Safari от Apple и браузера Google Chrome. Вредоносное ПО способно захватывать данные пользователя и отправлять их на сервер управления и контроля злоумышленника.

Жером Сегура, старший директор по анализу угроз в Malwarebytes, в своем сообщении об атаке отметил, что ClearFake активно обновляется и что использование смарт-контактов, в частности, делает его «одной из наиболее распространенных и опасных схем социальной инженерии».

«Поддельные обновления браузера были общей темой для пользователей Windows в течение многих лет, но до сих пор злоумышленники не распространялись на MacOS последовательным образом», — отметил Сегура.

Перейти к:

Хронология вредоносного ПО Atomic Stealer Как ClearFake выдает себя за обновления Safari и Chrome Как защититься от этой вредоносной угрозы

Хронология вредоносного ПО Atomic Stealer

Впервые Atomic Stealer был рекламирован как вариант доставки вредоносного ПО для злоумышленников в апреле 2023 года. В сентябре 2023 года компания Malwarebytes обнаружила, что Atomic Stealer нацелен на пользователей Mac с помощью поддельных обновлений программного обеспечения, рекламируемых в результатах поиска Google. Atomic Stealer особенно подходил для перехвата паролей и кодов связки ключей Apple, используемых для биткойн-кошельков. Atomic Stealer также может украсть информацию о кредитной карте.

Хотя Atomic Stealer в течение некоторого времени был нацелен на пользователей Mac, ClearFake исторически использовался только против компьютеров с Windows. Это примечательно, поскольку ClearFake — одна из первых социальных кампаний Windows, созданных для Windows, которая затем распространилась не только на другую географическую локацию, но и на другую операционную систему. Исследователь безопасности Рэнди МакЭоин обнаружил ClearFake в августе 2023 года.

Исследователь безопасности Анкит Анубхав отметил 17 ноября, что, хотя ClearFake был замечен в атаке на Windows, версия для Mac является новой разработкой.

Как ClearFake выдает себя за обновления Safari и Chrome

ClearFake — это серия вредоносных веб-сайтов, которые якобы предлагают обновления для Safari (рис. A) и Chrome (рис. B). Потенциальные жертвы увидят сайты, выдающие себя за законные обновления браузера.

Рисунок А

Рисунок Б

Затем мошенничество ClearFake доставит Atomic Stealer. Жертвы, которые перейдут на ложные обновления, загрузят файл .dmg, который может украсть пароли и извлечь файлы.

SEE: Некоторые злоумышленники использовали устройства Apple для наблюдения в течение прошлого года, и эта тенденция может продолжиться, по мнению Касперского. (Техреспублик)

Компания Malwarebytes обнаружила, что с этой угрозой связаны следующие вредоносные домены:

Longlakeweb [точка] ком Чаломанноахали [точка] ком Джаминзайдад [точка] см Royaltrustrbc [точка] ком

Похитителя AMOS можно определить по следующим показателям:

4cb531bd83a1ebf4061c98f799cdc2922059aff1a49939d427054a556e89f464 be634e786d5d01b91f46efd63e8d71f79b423bfb2d23459e5060a9532b4dcc7b

Как защититься от этой вредоносной угрозы

Администраторы безопасности или ИТ-специалисты должны помнить следующее, чтобы защитить сотрудников от ClearFake и Atomic Stealer:

Постоянно обновляйте инструменты веб-защиты вашей организации. Напомните сотрудникам не скачивать приложения с ненадежных сайтов. Пользователям Mac следует загружать приложения только из Mac App Store или из одобренных компанией мест. Четко сообщайте об ожидаемых обновлениях браузера и других обновлениях приложений.