Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Malvertising: Werbung für Arc liefert Poseidon-Malware für Mac

In einer aktuellen Malvertising-Kampagne für den Arc-Webbrowser wollen Kriminelle Mac-Nutzern den Poseidon-Infostealer unterjubeln.

In Pocket speichern vorlesen Druckansicht 1 Kommentar lesen
Stilisiertes Bild: Suche liefert Spam und Malware

Die Suche liefert Spam, Malware und Betrügereien zurück.

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Lesezeit: 3 Min.
Security
Von

Cyberkriminelle schalten gefälschte Werbung für den Arc-Webbrowser. Am Ende steht aber nicht die Installation des gesuchten Browsers, sondern eines Infostealers, der den Namen Poseidon erhalten hat. Die Angreifer haben Mac-Nutzerinnen und -Nutzer im Visier.

Lesen Sie auch

Die IT-Forscher von Malwarebytes haben ein in der vergangenen Woche gestartete neue Malvertisment-Kampagne beobachtet, die die Poseidon-Malware über bösartige Google-Werbung für den Arc-Browser verteilt. Das sei das zweite Mal, dass der Arc-Browser als Köder genutzt werde, führen sie aus. Damals sei jedoch ein Remote-Access-Toolkit für Windows darüber verteilt worden.

Wettbewerb unter Malware-Gruppen

Die jetzt angepriesene Malware werde aktiv als Wettbewerber zum Atomic Stealer entwickelt, wobei ein großer Teil des Codes auf seinem Vorläufer basiere. Die Erkennung lautet OSX.RodStealer, in Anlehnung an den Handle des Programmierers, Rodrigo4. Der habe die Schadsoftware in Poseidon umbenannt und einige neue Funktionen ergänzt, etwa das Ausleiten von VPN-Konfigurationen.

Der in einem Untergrundforum als Rodrigo4 auftretende Programmierer arbeite dort mit einer vergleichbaren Codebasis und ähnlichen Funktionen wie die Malware Atomic Stealer. Es handelt sich augenscheinlich um ein Rundum-Wohlfühlpaket für (kriminelle) Käufer. Der Dienst umfasse ein Malware-Panel mit Statistiken und einem Builder, der angepasste Namen, Icons und AppleScript zu vergeben erlaube. Die Funktionen zum Datenstehlen seien umfangreich und reichten vom Datei-Sammler, Krypto-Wallet-Extraktor und Passwort-Manager-Ausleser für Bitwarden und KeePassXC bis hin zum Browser-Daten-Sammler.

Hintergrundinformationen zu der bösartigen, gefälschten Werbung auf Google.

(Bild: Malwarebytes)

Die bösartige Werbung auf Google wurde Malwarebytes zufolge von einer vermeintlichen Firma "Coles & Co" aus dem Vereinigten Königreich geschaltet. Der Domain-Name verweise auf arcthost[.]org. Wer auf die Werbung klickt, wird demnach zu arc-download[.]com umgeleitet. Das dort angebotene DMG-Archiv ähnelt dem, was man für neue Mac-Apps erwarten würde. Ungewöhnlich ist darin jedoch die Erklärung, die Datei mit einem Rechtsklick zu öffnen – wodurch Sicherheitsmaßnahmen umgangen werden.

Ein komfortables Portal findet sich an der IP-Adresse, die die Malware zum Hochladen gesammelter Informationen nutzt.

(Bild: Malwarebytes)

Malwarebytes sieht eine aktive Szene, die Malware für Macs entwickelt und sich auf Infostealer fokussiere. Dabei ist eine kriminelle Geschäftstätigkeit im Rahmen der "Malware-as-a-Service" zu beobachten. Verkäufer müssten potenzielle Käufer überzeugen, dass ihr "Produkt" umfangreiche Funktionen und niedrige Erkennungsrate durch Antivirensoftware biete. Diese immer wieder zu beobachtenden Kampagnen bestätigten, dass die Bedrohung real sei. Nutzerinnen und Nutzer müssen stets aufmerksam bleiben, insbesondere, wenn sie neue Apps herunterladen und installieren.

Im April hatten Malwarebytes' Virenanalysten ebenfalls Malware-Werbe-Kampagnen beobachtet. Dort hatten die Drahtzieher hinter der Kampagne es auf Systemadministratoren abgesehen.

(dmk)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten