信息窃取者攻击目标为 macOS 用户

Jamf Threat Labs 研究人员分析了针对 macOS 用户的信息窃取者恶意软件攻击，这些攻击通过恶意广告和恶意网站进行。

研究人员发现其中一种攻击是通过赞助广告针对用户进行的，当用户在 Google 上搜索“Arc Browser”时，搜索引擎会推荐一个恶意网站 aricl.net，它伪装成合法的 arc.net。Reddit 用户在讨论中也描述了这些恶意广告。研究人员注意到，只有通过生成的赞助链接才能访问这个恶意网站；否则，它会返回一个错误。这种技术可以避免被检测到。

恶意网站包含一个链接，可用于下载 macOS 版的 Arc。有时，赞助链接也会将我们引导到一个相同的恶意网站 (airci.net)。

从该网站下载的磁盘映像文件（DMG）是通过 ad-hoc 签名的，并提供了右键单击应用程序并选择“打开”的说明，从而覆盖了 Gatekeeper 的任何警告。“与之前的 Atomic stealer 变种类似，它包含了最少的字符串，因为其中大部分都是异或编码以避免检测，这是一种常见的逃避静态签名的技术。” 

Jamf Threat Labs 发布的报告中写道。“这个 Atomic stealer 的变种将调用一个名为 bewta() 的函数，它使用硬编码的异或密钥 0x91 对各种字节进行去异或操作。” Jamf 还发现了另一种攻击，使用了一个名为 meethub[.]gg 的恶意网站，声称提供虚拟会议软件以进行通话。骗子向受害者发送直接消息，他们伪装成无害的个人，希望安排一个会议。在一个案例中，是为了与受害者讨论录制播客，而在另一个案例中，是为了讨论一次工作机会。攻击者指示受害者使用 Meethub 作为通话的虚拟会议软件。在这种情况下，针对受害者的恶意软件可以让骗子窃取浏览器的登录凭据，捕获信用卡详细信息，从已安装的加密钱包列表中窃取数据，包括 Ledger 和 Trezor。“尽管尚未确认直接相关，但这个信息窃取者与最初记录的 Realst stealer 之间存在许多有趣的相似之处。两者都共享一些特征，比如主执行文件选择的 Rust 语言，使用 chainbreaker，以及 chainbreaker machO 哈希可以在一些类似视频游戏的 pkg 中看到 —— 这是 Realst 使用的方法 —— 这些 pkg 已被上传到 VirusTotal 并被识别为恶意。” 

研究人员发布的报告详细介绍了去年针对 macOS 用户的众多信息窃取者攻击中的两起。大多数攻击主要针对涉足加密货币行业的个人，为攻击者带来巨大利益。报告包含了研究人员分析的攻击的威胁指标（IoCs）。

原文始发于微信公众号（黑猫安全）：信息窃取者攻击目标为 macOS 用户