El ladrón de información de macOS conocido como Atomic ahora se entrega al objetivo a través de una cadena de actualización de navegador web falsa rastreada como ClearFake.
«Esta podría ser la primera vez que vemos una de las principales campañas de ingeniería social, antes reservada a Windows, expandirse no sólo en términos de geolocalización sino también de sistema operativo», Jérôme Segura, de Malwarebytes dicho en un análisis del martes.
Atomic Stealer (también conocido como AMOS), documentado por primera vez en abril de 2023, es una familia de malware ladrón comercial que se vende mediante suscripción por 1.000 dólares al mes. Viene con capacidades para desviar datos de navegadores web y billeteras de criptomonedas.
Luego, en septiembre de 2023, Malwarebytes detalló una campaña de Atomic Stealer que aprovecha los anuncios maliciosos de Google, engañando a los usuarios de macOS que buscan una plataforma de gráficos financieros conocida como TradingView para que descarguen el malware.
ClearFake, por otro lado, es una incipiente operación de distribución de malware que emplea sitios de WordPress comprometidos para enviar avisos fraudulentos de actualización del navegador web con la esperanza de implementar ladrones y otro malware.
Es la última incorporación a un grupo más grande de actores de amenazas como TA569 (también conocido como SocGholish), RogueRticate (FakeSG), ZPHP (SmartApeSG) y EtherHiding, que se sabe que utilizan temas relacionados con actualizaciones falsas del navegador para este propósito.
A partir de noviembre de 2023, la campaña ClearFake se amplió para apuntar a sistemas macOS con una cadena de infección casi idéntica, aprovechando sitios web pirateados para entregar Atomic Stealer en forma de archivo DMG.
Este desarrollo es una señal de que el malware ladrón continúa dependiendo de archivos de instalación falsos o envenenados para software legítimo a través de anuncios maliciosos, redireccionamientos de motores de búsqueda a sitios web maliciosos, descargas no autorizadas, phishing y envenenamiento de SEO para su propagación.
«La popularidad de ladrones como AMOS hace que sea bastante fácil adaptar la carga útil a diferentes víctimas, con ajustes menores», dijo Segura.
Lumma Stealer afirma haber encontrado una manera de extraer cookies persistentes de Google
La divulgación también sigue a las actualizaciones del ladrón LummaC2 que utiliza una novedosa técnica anti-sandbox basada en trigonometría que obliga al malware a esperar hasta que se detecte un comportamiento «humano» en la máquina infectada.
Los operadores del malware también han estado promocionando una nueva característica que, según afirman, puede usarse para recopilar cookies de cuentas de Google de computadoras comprometidas que no caducan ni serán revocadas incluso si el propietario cambia la contraseña.
«Esto dará como resultado un cambio importante en el mundo del cibercrimen, permitiendo a los piratas informáticos infiltrarse en aún más cuentas y realizar ataques significativos», dijo en un comunicado Alon Gal, cofundador y director de tecnología de Hudson Rock. colocar de publicaciones en Linkedin.
«La conclusión es que estas cookies parecen más persistentes y podrían conducir a una afluencia de servicios de Google utilizados por personas que son pirateadas, y si la afirmación de que un cambio de contraseña no invalida la sesión es cierta, estamos ante un problema mucho mayor. problemas.»