Una nuova campagna di malvertising che distribuisce una versione aggiornata del malware stealer per macOS chiamato Atomic Stealer (AMOS) sarebbe stata osservata da Malwarebytes Labs.
Atomic Stealer
Atomic Stealer pubblicizzato per la prima volta nell’aprile 2023 è uno stealer per Mac OS in grado di raccogliere password dai browser e dall’Apple Keychain. Lo sviluppatore del progetto, avrebbe rilasciato una nuova versione alla fine di giugno.
Il malvertising come vettore
Il malvertising tramite Google Ads è stato osservato come il principale vettore di distribuzione in cui agli utenti che cercano software popolare, legittimo o crackato, sui motori di ricerca vengono mostrati annunci fasulli che indirizzano a siti Web fraudolenti.
“Gli utenti che desiderano scaricare un nuovo programma si rivolgeranno naturalmente a Google ed eseguiranno una ricerca. Gli autori delle minacce acquistano annunci corrispondenti a marchi noti e inducono le vittime a visitare il loro sito come se fosse la pagina ufficiale.”, spiega Jérôme Segura, director of threat intelligence at Malwarebytes.
Il sito fraudolento per TradingView
In questa campagna l’annuncio fasullo reindirizzava l’utente verso un sito Web fraudolento per TradingView, una piattaforma popolare per monitorare i mercati finanziari, con tre pulsanti per scaricare il software per i sistemi operativi Windows, macOS e Linux.
Mentre entrambi i pulsanti Windows e Linux puntavano a un programma di installazione MSIX ospitato su Discord che scaricava NetSupport RAT, il pulsante per MacOS rilasciava il payload di macOS (“TradingView.dmg”) proprio la nuova versione di Atomic Stealer rilasciata a fine di giugno, inclusa in un’app firmata ad hoc che, una volta eseguita, richiedeva agli utenti di inserire la propria password su un popup login falso.
L’obiettivo finale dell’aggressore era quello di aggirare le protezioni Gatekeeper in macOS ed esfiltrare le informazioni rubate su un server presidiato.
Consigli di protezione
“Il malvertising continua a essere un vettore efficace per prendere di mira nuove vittime abusando della fiducia che queste hanno nei motori di ricerca. Annunci dannosi abbinati a pagine di phishing dall’aspetto professionale costituiscono una potente combinazione che può ingannare praticamente chiunque.“, conclude Jérôme Segura che raccomanda inoltre di verificare sempre le fonti dei download, la veridicità degli annunci e di scaricare preferibilmente i software visitando direttamente i telstivi siti web ufficiali.