Es wurde eine neue Malvertising-Kampagne entdeckt, die eine aktualisierte Version einer macOS-Stehlware namens Atomic Stealer (oder AMOS) verbreitet. Dies deutet darauf hin, dass sie aktiv von ihrem Autor gewartet wird.

Atomic Stealer, eine Golang-Malware von der Stange, die für 1.000 US-Dollar pro Monat erhältlich ist, wurde erstmals im April 2023 bekannt. Kurz darauf wurden neue Varianten mit erweiterten Funktionen zur Informationsgewinnung in freier Wildbahn entdeckt, die vor allem Gamer und Kryptowährungsbenutzer ins Visier nehmen.

Malvertising über Google Ads wurde als Hauptverteilungsvektor beobachtet. Benutzer, die in Suchmaschinen nach beliebter Software suchen, ob legal oder gecrackt, sehen betrügerische Anzeigen, die zu Websites mit schädlichen Installationsprogrammen führen.

Die neueste Kampagne beinhaltet die Verwendung einer betrügerischen Website für TradingView, auf der drei Schaltflächen zur Software-Downloads für Windows, macOS und Linux angezeigt werden.

„Die Schaltflächen für Windows und Linux verweisen auf ein MSIX-Installationsprogramm, das auf Discord gehostet ist und NetSupport RAT ablegt“, sagt Jérôme Segura, Direktor für Threat Intelligence bei Malwarebytes.

Die macOS-Nutzlast („TradingView.dmg“) ist eine neue Version von Atomic Stealer, die Ende Juni veröffentlicht wurde. Sie ist in einer ad-hoc signierten App gebündelt, die nach der Ausführung die Nutzer zur Eingabe ihres Passworts in einem gefälschten Dialog auffordert und Dateien sowie Daten aus der iCloud Keychain und Webbrowsern abgreift.

„Atomic Stealer zielt auch auf die Browser Chrome und Firefox ab und verfügt über eine umfangreiche Liste von Krypto-bezogenen Browsererweiterungen, die angegriffen werden sollen“, stellte SentinelOne bereits im Mai 2023 fest. Einige Varianten haben auch Coinomi-Wallets ins Visier genommen.

Das ultimative Ziel des Angreifers ist es, die Gatekeeper-Schutzmaßnahmen in macOS zu umgehen und die gestohlenen Informationen an einen Server unter ihrer Kontrolle zu exfiltrieren.

Zunahme der Mac-Malware

Die Entwicklung erfolgt, da macOS zunehmend zu einem attraktiven Ziel für Malware-Angriffe wird. In den letzten Monaten sind mehrere macOS-spezifische Info-Stehler in Kriminellen-Foren aufgetaucht, um die breite Verfügbarkeit von Apple-Systemen in Unternehmen auszunutzen.

„Während Mac-Malware tatsächlich existiert, wird sie tendenziell weniger erkannt als ihr Windows-Gegenstück“, sagt Segura. „Der Entwickler oder Verkäufer von AMOS hat tatsächlich als Verkaufsargument angeführt, dass ihr Toolkit in der Lage ist, Erkennung zu umgehen.“

Atomic Stealer ist nicht die einzige Malware, die über Malvertising und Search Engine Optimization (SEO)-Kampagnen verbreitet wird, da Hinweise darauf aufgetaucht sind, dass sich auch DarkGate (auch bekannt als MehCrypter) derselben Bereitstellungsmethode bedient. Neue Versionen von DarkGate wurden in Angriffen eingesetzt, bei denen Bedrohungsakteure ähnliche Taktiken wie Scattered Spider angewendet haben, so die Stroz Friedberg Incident Response Services von Aon im letzten Monat.