Jamf 威胁实验室在周五发布的一份报告中表示,针对 macOS 用户的持续信息窃取者攻击可能采用了不同的方法来危害受害者的 Mac,但其最终目标是窃取敏感数据。此类攻击链的目标是在 Google 等搜索引擎上搜索 Arc Browser 的用户,以提供虚假广告,将用户重定向到提供恶意软件服务的相似网站(“airci.net”)。
从假冒网站(“ArcSetup.dmg”)下载的磁盘映像文件提供了 Atomic Stealer,该软件会通过虚假提示要求用户输入系统密码,最终促进信息盗窃。
Jamf 表示,它还发现了一个名为 meethub.gg 的虚假网站,该网站声称提供免费的团体会议安排软件,但实际上安装了另一种窃取恶意软件的软件,该恶意软件能够收集用户的钥匙串数据、网络浏览器中存储的凭据以及加密货币钱包中的信息 。
与 Atomic 窃取程序非常相似,该恶意软件(据说与基于 Rust 的名为 Realst 的窃取程序系列重叠)也会使用 AppleScript 调用提示用户输入 macOS 登录密码,以执行其恶意操作。
研究人员表示:“这些攻击通常集中在加密货币行业,因为此类攻击可能会给攻击者带来巨额损失。” “业内人士应该高度意识到,通常很容易找到他们是资产持有者的公开信息,或者很容易与将他们置于该行业的公司联系在一起。”
虚假广告无所不在啊,防不胜防