ClearFake 活动利用 Atomic Stealer 扩展到 Mac 系统

名为 Atomic 的 macOS 信息窃取程序现在通过追踪为 ClearFake 的虚假网络浏览器更新链传递到目标。

Malwarebytes 的 Jérôme Segura在周二的分析中表示：“这很可能是我们第一次看到以前针对 Windows 的主要社会工程活动不仅涉及地理位置，还涉及操作系统。”

Atomic Stealer（又名 AMOS）于 2023 年 4 月首次记录，是一个商业窃取恶意软件系列，以每月 1,000 美元的订阅价格出售。它具有从网络浏览器和加密货币钱包中提取数据的功能。然后在 2023 年 9 月，Malwarebytes详细介绍了一场 Atomic Stealer 活动，该活动利用恶意 Google 广告，欺骗搜索名为 TradingView 的金融图表平台的 macOS 用户下载恶意软件。

另一方面，ClearFake 是一种新兴的恶意软件分发操作，它利用受感染的 WordPress 网站来提供欺诈性 Web 浏览器更新通知，以期部署窃取程序和其他恶意软件。

它是 TA569（又名 SocGholish）、RogueRaticate（FakeSG）、ZPHP（SmartApeSG）和 EtherHiding 等更大威胁参与者 池中的最新成员，已知这些威胁参与者使用与虚假浏览器更新相关的主题来达到此目的。

截至 2023 年 11 月，ClearFake 活动已扩展到具有几乎相同感染链的 macOS 系统，利用被黑网站以 DMG 文件的形式传播 Atomic Stealer。

这一进展表明，窃取者恶意软件继续依赖虚假或中毒的安装程序文件，通过恶意广告、搜索引擎重定向到恶意网站、偷渡式下载、网络钓鱼和 SEO 中毒来传播合法软件。

Segura 说：“AMOS 等窃取程序的流行使得通过细微调整即可轻松调整有效负载以适应不同的受害者。”

Lumma Stealer 声称找到了提取持久 Google Cookie 的方法#

该披露还遵循对 LummaC2 窃取程序的更新，该窃取程序利用一种新颖的基于三角学的反沙箱技术，迫使恶意软件等待，直到在受感染的机器中检测到“人类”行为。该恶意软件的运营商还一直在推广一项新功能，他们声称该功能可用于从受感染的计算机收集 Google 帐户 cookie，即使所有者更改密码，这些 cookie 也不会过期或被撤销。

Hudson Rock 联合创始人兼首席技术官阿隆·加尔 (Alon Gal) 在LinkedIn 上的一系列帖子中表示：“这将导致网络犯罪世界发生重大转变，使黑客能够渗透更多账户并实施重大攻击。”

“最重要的是，这些 cookie 看起来更持久，可能会导致人们大量使用 Google 服务而遭到黑客攻击，如果密码更改不会使会话失效的说法属实，那么我们正在考虑更大的解决方案。”

原文始发于微信公众号（河南等级保护测评）：ClearFake 活动利用 Atomic Stealer 扩展到 Mac 系统