Af Eskil Sørensen, 02/04/24
Ondsindede annoncer og falske websteder er observeret brugt som en kanal til levering af to forskellige typer infostealer-malware mod macOS-brugere.
Det skriver The Hacker News i en artikel, som er baseret på en rapport fra virksomheden Jamf Threat Labs.
Formålet med angrebene er at kompromittere ofrenes Mac'er, men det endelige mål er at stjæle følsomme data. Det kan således være både cyperspionage og cyberkriminalitet.
I artiklen i The Hacker News fremgår det, at angrebskæden er rettet mod brugere, der søger efter Arc Browser på søgemaskiner som Google. Søgningen skal angiveligt føre til visning af falske annoncer, som omdirigerer brugere til websteder, der leverer malwaren. Arc Browser er tilgængelig til MacOS og iOS.
Denne angrebsmetode er set mange gange før. Det nye er, ifølge researcherne bag fundet, at den ondsindede hjemmesiden ikke kan tilgås direkte, da den returnerer en fejl. Hjemmeside kan kun tilgås via et genereret sponsoreret link. Ræsonnementet bag denne metode er formentlig at undgå opdagelse.
Fra den ondsindede hjemmeside downloades en Diskimage-fil. Denne kan levere Atomic Stealer – som er en infostealer-malware, der beder brugere om at indtaste deres systemadgangskoder via en falsk prompt
Af rapporten fremgår det også, at der er opdaget et falsk websted, der tilbyder gratis software til planlægning af møder. Sofwaren kaldes meethub[.]gg, og i modsætning til planlægning af møder installerer den en anden infostealer-malware. Denne kan bl.a. høste lagrede legitimationsoplysninger i webbrowsere og information fra wallets vedr. kryptovaluta.
Også her bedes brugeren om macOS-login-adgangskode ved hjælp af et AppleScript-kald.
The Hacker News skriver, at angrebene i dette tilfælde siges at have henvendt sig til ofre under påskud af at diskutere jobmuligheder og interviewe dem til deltagelse i en podcast. I forbindelse med det bedes brugerne om at downloade en app fra meethub[.]gg for at deltage i en videokonference, der er angivet i mødeinvitationerne.
Med andre ord en avanceret men også ressourcekrævende form for phishing.
Links:
https://thehackernews.com/2024/03/hackers-target-macos-users-with.html