Mac 用户成为传播 Atomic Stealer 的新恶意广告活动的目标

概括

Google 搜索的恶意广告以 Mac 用户为目标。

网络钓鱼网站诱骗受害者下载他们认为是他们想要的应用程序。

该恶意软件捆绑在一个临时签名的应用程序中，因此 Apple 无法撤销它。

有效负载是 OSX 最新 Atomic Stealer 的新版本。

介绍

我们过去几个月跟踪的大多数恶意广告活动都针对 Windows 用户。考虑到微软在台式机和笔记本电脑方面都拥有最大的市场份额，这并不奇怪。

然而，我们最近捕获了一场同时传播 Windows 和 Mac 恶意软件的活动，后者是适用于 Mac 的新型但流行的 Atomic Stealer (AMOS) 的更新版本。

AMOS 于 2023 年 4 月首次被宣传为 Mac OS 的窃取者，重点关注加密资产，能够从浏览器和苹果钥匙串中获取密码，并具有文件抓取器。开发人员一直在积极致力于该项目，并于六月底发布了新版本。

购买该工具包的犯罪分子主要通过破解软件下载来分发该工具包，但也冒充合法网站并在 Google 等搜索引擎上使用广告来引诱受害者。在这篇博文中，我们将提供针对 TradingView 的一项活动的详细信息，TradingView 是跟踪金融市场的流行平台和应用程序。

分配

想要下载新程序的用户自然会转向谷歌并进行搜索。威胁行为者购买与知名品牌匹配的广告，并诱骗受害者访问其网站，就像访问官方页面一样。

下面的 TradingView 广告使用特殊字体字符（tradıņgsvıews[.]com 嵌入了 unicode 字符：tradu0131u0146gsvu0131ews[.]com），可能是为了看起来像真实的域名并逃避 Google 广告质量的检测检查：

Google 的广告透明度中心页面显示该广告客户帐户属于白俄罗斯人。这可能是威胁行为者正在使用的受损广告帐户。

当用户点击广告时，他们会被重定向到 trabingviews[.]com 托管的网络钓鱼页面：

钓鱼页面

该诱饵网站 (trabingviews[.]com) 看起来相当真实，并显示三个下载按钮：Windows、Mac 和 Linux 各一个。检测潜在网络钓鱼站点的一种方法是检查其创建时间，在本例中，创建时间仅是几天前。

Windows 和 Linux 按钮都指向 Discord 上托管的 MSIX 安装程序，该安装程序会删除 NetSupport RAT：

https://cdn[.]discordapp[.]com/attachments/1062068770551631992/1146489462025629766/TradingView-x64[.]msix

Mac 下载地址为：

https://app-downloads[.]org/tview.php

有效载荷

下载的文件 ( TradingView.dmg ) 附带有关如何打开它以绕过 GateKeeper 的说明。与常规应用程序不同，它不需要复制到 Mac 的 Apps 文件夹中，只需安装并执行即可。

该恶意软件捆绑在一个临时签名的应用程序中，这意味着它不是 Apple 证书，因此无法撤销。一旦执行，它将不断提示用户输入密码，直到受害者最终屈服并输入密码。

攻击者的目标是简单地运行他们的程序并从受害者那里窃取数据，然后立即将其泄露回他们自己的服务器。下图显示了可以收集的数据类型：

任何信息窃取者操作的关键部分都是接收被盗数据的后端服务器。AMOS 开发人员建议他们的客户使用防弹服务器，如下所示：

防护

恶意广告仍然是通过滥用新受害者对搜索引擎的信任来瞄准新受害者的有效媒介。恶意广告与看起来专业的网络钓鱼页面相结合，构成了一个强大的组合，可以欺骗几乎任何人。

虽然 Mac 恶意软件确实存在，但它往往比 Windows 恶意软件更难被检测到。AMOS 的开发商或销售商实际上以他们的工具包能够逃避检测为卖点。

在运行任何新程序之前，请务必仔细检查其来源。如果您点击广告下载新应用程序，您可能想返回并直接重新访问官方网站，或者至少花一些时间验证当前网站是否确实是正确的，而不是假的。

对于 AMOS 等窃取程序，运行具有实时保护功能的防病毒软件也很重要，以便在有价值的数据被盗之前阻止恶意软件。

妥协指标

广告域：

xn--tradgsvews-0ubd3y[.]com

钓鱼域名：

trabingviews[.]com

AMOS安装程序下载：

app-downloads[.]org/tview.php

AMOS 安装程序 (dmg)：

6b0bde56810f7c0295d57c41ffa746544a5370cedbe514e874cf2cd04582f4b0

AMOS 恶意软件：

ce3c57e6c025911a916a61a716ff32f2699f3e3a84eb0ebbe892a5d4b8fb9c7a

AMOS C2:

185.106.93[.]154

转载来源：https://www.malwarebytes.com/blog/threat-intelligence/2023/09/atomic-macos-stealer-delivered-via-malvertising

图片来源网络侵权可联系删除