Između juna i avgusta više od 300 entiteta bilo je meta Atomic macOS Stealer malvera preko malvertising napada.
CrowdStrike upozorava na porast napada usmjerenih na infekciju macOS korisnika varijantom ozloglašenog info-stealera Atomic macOS Stealer (AMOS).
Između juna i avgusta, sajber-kriminalna grupa Cookie Spider, koja upravlja AMOS malware-as-a-service (MaaS) platformom, koristila je malvertising kako bi žrtve usmjerila na lažne „help“ sajtove i navela ih da instaliraju malver.
Kampanja, navodi CrowdStrike, ciljala je korisnike koji su pretraživali rješenja za uobičajene macOS probleme, oslanjajući se na promociju lažnih oglasa za stranice gdje su žrtve bile instruisane da izvrše malicioznu komandu na svojim sistemima.
Ta komanda bi preuzimala Bash skriptu sa udaljenog servera, kako bi uhvatila lozinku korisnika i zatim preuzela izvršnu datoteku sa druge udaljene lokacije.
Nazvan SHAMOS, payload je varijanta AMOS-a koja sadrži anti-VM provjere radi sprečavanja izvršavanja u sandbox okruženju, a može vršiti izviđanje i prikupljanje podataka.
Malver pretražuje sistem u potrazi za fajlovima koji sadrže akreditive, podatke iz Keychain-a, AppleNotes-a, browsera i poznatih kripto-novčanika, te pokušava da ih eksfiltrira na udaljeni server, spakovane u ZIP arhivu.
Dodatno, SHAMOS može preuzimati i izvršavati dodatne payload-e, uključujući botnet modul i lažnu Ledger Live wallet aplikaciju.
Malvertising kampanja ciljala je korisnike u Kanadi, Kini, Kolumbiji, Italiji, Japanu, Meksiku, SAD-u, Velikoj Britaniji i drugim državama, ali nije bila usmjerena na ruske korisnike.
CrowdStrike-ova istraga otkrila je da su sajber-kriminalci vjerovatno lažno predstavljali legitimnu australijsku prodavnicu elektronike u svom Google Advertising profilu.
„Ova kampanja naglašava popularnost malicioznih jednolinijskih instalacionih komandi među eCrime hakerima. Ova tehnika im omogućava da zaobiđu Gatekeeper bezbjednosne provjere i direktno instaliraju Mach-O izvršnu datoteku na uređaje žrtava,“ navodi CrowdStrike.
Izvor: SecurityWeek
