Los hackers están dirigidos a usuarios de macOS con anuncios maliciosos que propagan malware Stealer

Luis Quiles

abril 1, 2024

Criptomonedas, Malware

Los hackers están utilizando anuncios maliciosos y sitios web falsos como conducto para distribuir dos tipos diferentes de malware Stealer, incluido Atomic Stealer, dirigido a usuarios de Apple macOS.

Los ataques en curso de robo de información dirigidos a usuarios de macOS pueden haber adoptado diferentes métodos para comprometer las Mac de las víctimas, pero operan con el objetivo final de robar datos sensibles, dijo Jamf Threat Labs en un informe publicado el viernes.

Una de estas cadenas de ataque se dirige a usuarios que buscan Arc Browser en motores de búsqueda como Google para mostrar anuncios falsos que redirigen a los usuarios a sitios similares («airci[.]net») que sirven el malware.

«Curiosamente, el sitio web malicioso no se puede acceder directamente, ya que devuelve un error», dijeron los investigadores de seguridad Jaron Bradley, Ferdous Saljooki y Maggie Zirnhelt. «Solo se puede acceder a través de un enlace patrocinado generado, presumiblemente para evadir la detección.»

El archivo de imagen de disco descargado desde el sitio web falso («ArcSetup.dmg») entrega Atomic Stealer, que se sabe que solicita a los usuarios que ingresen sus contraseñas de sistema a través de un aviso falso y, en última instancia, facilita el robo de información.

Jamf también descubrió un sitio web falso llamado meethub[.]gg que afirma ofrecer un software gratuito de programación de reuniones grupales, pero que en realidad instala otro malware Stealer capaz de recolectar los datos del llavero de usuarios, credenciales almacenadas en navegadores web e información de billeteras de criptomonedas.

Al igual que Atomic Stealer, el malware, que se dice que se superpone con una familia de Stealer basada en Rust conocida como Realst, también solicita al usuario su contraseña de inicio de sesión de macOS utilizando una llamada de AppleScript para llevar a cabo sus acciones maliciosas.

Se dice que los ataques que aprovechan este malware se acercaron a las víctimas bajo el pretexto de discutir oportunidades laborales y entrevistarlas para un podcast, pidiéndoles posteriormente que descarguen una aplicación de meethub[.]gg para unirse a una videoconferencia proporcionada en las invitaciones a la reunión.

«Estos ataques suelen estar enfocados en aquellos en la industria de la criptografía, ya que tales esfuerzos pueden conducir a grandes pagos para los atacantes», dijeron los investigadores. «Aquellas personas en la industria deben estar muy conscientes de que a menudo es fácil encontrar información pública que muestre que son poseedores de activos o que pueden estar fácilmente vinculados a una empresa que los ubica en esta industria.»

Este desarrollo se produce cuando la división de ciberseguridad de MacPaw, Moonlock Lab, reveló que se están utilizando archivos DMG maliciosos («App_v1.0.4.dmg») por parte de actores de amenazas para desplegar un malware Stealer diseñado para extraer credenciales y datos de diversas aplicaciones.

Esto se logra mediante un script de AppleScript y un payload de bash ofuscados que se recuperan de una dirección IP rusa, el primero de los cuales se utiliza para lanzar un aviso engañoso (como se mencionó anteriormente) para engañar a los usuarios y obtener las contraseñas del sistema.

«Disfrazado como un inofensivo archivo DMG, engaña al usuario para que lo instale a través de una imagen de phishing, persuadiendo al usuario para que evite la función de seguridad Gatekeeper de macOS», dijo el investigador de seguridad Mykhailo Hrebeniuk.

Los hallazgos son otra indicación de que los entornos de macOS están cada vez más amenazados por ataques de robo de información, con algunas cepas incluso presumiendo de técnicas avanzadas de anti-virtualización al activar un interruptor de autodestrucción para evadir la detección.

En las últimas semanas, también se han observado campañas de malvertising que empujan el cargador FakeBat (también conocido como EugenLoader) y otros roba información como Rhadamanthys a través de un cargador basado en Go a través de sitios señuelo para software popular como Notion y PuTTY.