Malvertising-Kampagne will Mac-Nutzern Atomic Stealer unterjubeln

IT-Sicherheitsforscher beobachten eine Malvertising-Kampagne, die versucht, Mac-Nutzern eine Atomic Stealer genannte Malware unterzuschieben. Der Info-Stealer schleust Informationen aus der Keychain und aus Browsern aus, kann Dateien übertragen und Krypto-Wallets leer räumen.

Wie die Malwarebytes-Mitarbeiter ausführen, ziele die Kampagne nicht nur wie sonst üblich auf Windows-Nutzer, sondern habe auch Apple-Nutzer im Visier. Die konkrete Malvertising-Kampagne laufe bei Google, wo die Angreifer Werbung für bekannte Markennamen gekauft haben und so Opfer auf ihre Seite locken, die vorgeblich die offizielle Webseite sei. Im konkreten Fall ziele die Kampagne auf das Kryptowährungs-Chart-Tool Tradingview. Die Angreifer zeigen in der Werbung eine Domain mit Unicode-Zeichen, bei dem die beiden "i" und das "n" durch ähnlich aussehende Unicode-kodierte Zeichen ersetzt wurden.

Malware-Werbung: Vermutlich kompromittierte Konten genutzt

Die IT-Forscher schreiben, dass laut Googles Ads-Transparency-Center ein Werbetreibender aus Belarus die Anzeige geschaltet habe. Sie gehen davon aus, dass es sich wahrscheinlich um ein kompromittiertes Konto handelt, das die bösartigen Akteure für die Kampagne missbrauchen.

Nach dem Klick auf die Werbung landen potenzielle Opfer schließlich auf der Phishingseite mit der URL trabingsviews[.]com, eine Typosquatting-Domain, die auf die Ähnlichkeit von "b" und "d" setzt. Die Optik der Phishingseite ist der originalen Webseite nachempfunden und bietet drei Download-Schaltflächen, je eine für Windows, Mac und Linux. Die Linux- und Windows-Downloads verweisen auf einen auf Discord gehosteten MSIX-Installer, der Mac-Download hingegen auf die Domain app-downloads[.]org – letztere wirkt auf den ersten Blick zumindest weniger verdächtig.

Mac-Malware mit Installationsanleitung

Der Installer TradingView.dmg bringt den IT-Forschern zufolge eine Anleitung mit, wie sie sich trotz Gatekeeper ausführen lässt. Anders als zumeist üblich wird das Image im DMG-Abbild gemountet und die App darin ausgeführt und nicht auf den App-Ordner gezogen. Die Malware kommt im Bunde mit einer Ad-hoc-signierten App. Da das Zertifikat nicht von Apple stamme, lasse es sich nicht zurückziehen, erklären die Malwarebytes-Forscher. Nach der Ausführung fragt die Malware in einer Endlosschleife nach dem Nutzerkennwort, bis die Opfer aufgeben und es eingeben.

Anschließend sammelt Atomic Stealer Daten ein und schleust sie an die Server der Drahtzieher hinter der Kampagne aus. Dazu gehören Passwörter, Daten zu automatisch ausgefüllten Formularen und Nutzerinformationen sowie Cookies aus Webbrowsern, die Keychain, Krypto-Wallets sowie Dateien.

In der Analyse listen die Malwarebytes-Mitarbeiter noch Indizien für eine Infektion (Indicators of Compromis, IOCs) wie Datei-Hashes, Command-and-Controll-Server-IP oder Download-URLs auf. Anhand derer können potenziell Betroffene schauen, ob sie die Malware auf dem Rechner haben.

Atomic Stealer ist eine seit etwa April dieses Jahres bekannte Malware für macOS. Im Mai kursierte sie etwa bereits auf Telegram.

(dmk)