In jüngster Zeit haben Cyberkriminelle begonnen, macOS-Benutzer mittels schädlicher Werbeanzeigen und gefälschter Webseiten ins Visier zu nehmen. Ziel dieser Angriffe ist es, zwei verschiedene Typen von Diebstahl-Malware, darunter Atomic Stealer, zu verbreiten. Dies berichten Sicherheitsforscher von Jamf Threat Labs in einer kürzlich veröffentlichten Studie.

Eine besondere Angriffsmethode richtet sich an Nutzer, die über Suchmaschinen wie Google nach dem Arc Browser suchen. Sie werden durch gefälschte Anzeigen auf täuschend ähnliche Webseiten umgeleitet, die schließlich die Malware ausliefern. Interessanterweise lässt sich die betrügerische Webseite nur über den gesponserten Link aufrufen, was eine direkte Erreichbarkeit und damit eine leichtere Aufdeckung verhindert.

Der heruntergeladene Disk-Image-Datei „ArcSetup.dmg“ von diesen gefälschten Webseiten installiert Atomic Stealer. Diese Malware verlangt vom Benutzer, das Systempasswort über eine gefälschte Eingabeaufforderung einzugeben, wodurch sensible Daten gestohlen werden können.

Eine weitere entdeckte Schadsoftware, die von der Webseite meethub[.]gg heruntergeladen werden kann, zielt darauf ab, Daten aus dem Schlüsselbund des Benutzers, gespeicherten Anmeldedaten in Webbrowsern und Informationen aus Kryptowährungs-Wallets zu extrahieren. Diese Malware verwendet ebenfalls eine AppleScript-Aufforderung, um das macOS-Login-Passwort des Benutzers zu erfragen.

Zudem haben Angreifer begonnen, potenzielle Opfer unter dem Vorwand beruflicher Möglichkeiten oder Podcast-Interviews zu kontaktieren und sie dazu aufzufordern, eine Anwendung von meethub[.]gg herunterzuladen, um an einer Videokonferenz teilzunehmen. Diese Vorgehensweise zielt besonders auf Personen in der Kryptobranche ab, da dies für die Angreifer zu großen Gewinnen führen kann.

Des Weiteren hat die Cybersecurity-Division von MacPaw, Moonlock Lab, aufgedeckt, dass bösartige DMG-Dateien („App_v1.0.4.dmg“) von Angreifern genutzt werden, um eine Stealer-Malware zu verbreiten, die darauf abzielt, Anmeldeinformationen und Daten aus verschiedenen Anwendungen zu extrahieren.

Diese Entwicklungen deuten darauf hin, dass macOS-Umgebungen zunehmend von Stealer-Angriffen bedroht sind. Einige Malware-Varianten weisen sogar ausgefeilte Techniken zur Vermeidung von Virtualisierung auf, indem sie einen Selbstzerstörungsschalter aktivieren, um Entdeckungen zu entgehen.

In den letzten Wochen wurden auch Malvertising-Kampagnen beobachtet, die den FakeBat-Loader (auch bekannt als EugenLoader) und andere Informationsdiebe wie Rhadamanthys über einen Go-basierten Loader durch Scheinwebseiten für beliebte Software wie Notion und PuTTY verbreiten.