Malvertising en Mac: Atomic Stealer pone en peligro a los usuarios de Mac
Un preocupante malvertising en Mac que propaga una variación mejorada del infame malware infame malware robador de macOS conocido como Atomic Stealero simplemente AMOS. El mantenimiento y desarrollo activos de estos ataques de malware en macOS es preocupante, lo que implica que sus desarrolladores siguen mejorando sus poderes.
La aparición de Atomic Stealer
El malware Atomic Stealerdescubierto por primera vez en abril de 2023, es un malware basado en malware basado en Golang que se puede comprar por 1.000 dólares al mes. Apareció por primera vez como una amenaza dirigida principalmente a usuarios de Mac OS, con un énfasis específico en las tenencias de Bitcoin. Este sofisticado virus tiene una amplia gama de características, incluyendo la capacidad de extraer contraseñas de los navegadores web y del llavero de Appleasí como la capacidad de robar archivos de los PC afectados.
El desarrollador de AMOS ha demostrado su compromiso con el desarrollo de este malvado proyecto, con una nueva versión publicada a finales de junio. Esta carga útil recién creada para macOS está hábilmente envuelta dentro de una aplicación sin firmar, aumentando los riesgos de ciberseguridad de Mac. Una vez ejecutado, se invita a los usuarios ingenuos a introducir su contraseña, ajenos al hecho de que este mensaje aparentemente inofensivo oculta un oscuro objetivo: el robo de archivos y datos confidenciales almacenados en el sistema operativo. robo de archivos y datos confidenciales almacenados en iCloud Keychain y navegadores en línea..
Quienes adquieren este kit de herramientas por motivos ilícitos han utilizado diversas vías de distribución, la más común de las cuales es descargas de software pirateado. Sin embargo, han recurrido a la réplica de sitios web respetables y al uso de anuncios fraudulentos en grandes motores de búsqueda como Google para atraer a individuos escépticos a sus trampas.
Malvertising en Mac: Las inquietantes tácticas de distribución
La última campaña comienza con el desarrollo de un sitio web falso de TradingView que hábilmente muestra tres prominentes botones de descarga para los sistemas operativos Windows, macOS y Linux. Cuando la gente quiere descargar un nuevo software, recurre de forma natural a motores de búsqueda como Google. Los actores de amenazas se han aprovechado de este comportamiento comprando publicidad que parece de empresas conocidas y remitiendo a la gente a sus sitios falsos, que están hábilmente disfrazados de páginas auténticas. Entonces, eliminación de malware en Mac se ha convertido en un grave problema debido al aumento de estas debilidades de ciberseguridad.
Para complicar aún más las cosas, el anuncio de TradingView (tradıņgsvıews[.]com) utiliza caracteres unicode especiales “trad\u0131\u0146gsv\u0131ews[.]com” para hacerse pasar por el dominio auténtico y eludir así la detección de los controles de calidad de los anuncios de Google. Cabe mencionar que el Centro de Transparencia de Anuncios de Google revela una cuenta de anunciante perteneciente a una persona de Bielorrusia, que muy probablemente fue víctima de una cuenta de anuncios comprometida explotada por el atacante.
La carga maliciosa
Cuando la gente hace clic en el anuncio, son redirigidos a una página de phishing alojada en trabingviews[.]com que pretende parecerse a una página real de TradingView. Incluye enlaces de descarga para Windows, Mac y Linux.
El archivo descargado, "TradingView.dmg," incluye instrucciones para eludir GateKeeper y evitar la necesidad de copiarlo en la carpeta Apps del Mac. En su lugar, se monta y ejecuta directamente. El virus oculto en este programa firmado ad-hoc no tiene certificación de Apple, lo que lo hace resistente a la revocación de certificados. Cuando se ejecuta, comienza un bucle interminable en el que pide al usuario su contraseña hasta que, inevitablemente, cae víctima y la introduce.
Con este propagación de robos atómicossu principal objetivo es ejecutar rápidamente su programa robando datos de las víctimas y exfiltrándolos rápidamente a su propio servidor. En particular, la eficacia de cualquier operación de infostealer depende de la fiabilidad del servidor backend utilizado, y Los ingenieros de AMOS recomiendan explícitamente utilizar un servidor "servidor a prueba de balas".
Protección contra los peligros de la publicidad engañosa
El malvertising sigue siendo un método eficaz para atraer a víctimas desprevenidas aprovechando la confianza en los motores de búsqueda.s. La combinación de anuncios dañinos y páginas de phishing hábilmente construidas crea una grave amenaza capaz de engañar prácticamente a cualquiera.
Aunque amenazas a la seguridad de Mac son menos comunes que el malware de Windows, los creadores de AMOS han promocionado públicamente su capacidad para evitar la detección como factor de venta. En consecuencia, proteger Mac de la publicidad maliciosa se ha vuelto extremadamente crucial. Proceder con cautela antes de abrir cualquier programa nuevo debería ser lo primero a tener en cuenta. Los usuarios deberían volver a comprobar la fiabilidad de la fuente, especialmente si inicialmente hicieron clic en un anuncio para descargar una aplicación. Es fundamental validar la autenticidad del sitio web y asegurarse de que no se trata de un clon falsificado.
Cabe destacar que Malwarebytes reconoce este malware como OSX.AtomStealer. La prevención de malware para Mac puede priorizarse utilizando una solución antivirus con protección en tiempo real contra amenazas como AMOS. Este método preventivo puede mantener los virus fuera del sistema, protegiendo los datos sensibles contra el robo.
Conclusión
El regreso del malware Atomic Stealer a través de operaciones de malvertising pone de relieve la importancia de seguridad de los usuarios de Mac en el espectro siempre cambiante de las ciberamenazas. Los usuarios pueden reforzar sus defensas contra la creciente amenaza de AMOS y problemas similares en diversos sistemas operativos. Esto puede lograrse manteniéndose alerta, actuando con precaución y aplicando medidas de seguridad sólidaspara garantizar que su bienestar digital y sus datos permanezcan protegidos.
Las fuentes de este artículo incluyen artículos en Malwarebytes y The Hacker News.