Sommario
Negli ultimi sviluppi nel campo della sicurezza informatica, una nuova campagna di malvertising sta prendendo di mira gli utenti Mac attraverso un falso annuncio di Microsoft Teams. Questo attacco segue il recente progetto Poseidon (OSX.RodStealer), un’altra minaccia che utilizza tecniche di distribuzione simili. Il team di Malwarebytes ha monitorato queste attività, rilevando che Microsoft Teams è una delle parole chiave più popolari su cui gli attori delle minacce stanno puntando, e per la prima volta, Atomic Stealer è stato utilizzato in questo contesto.
Minaccia di Atomic Stealer
Dettagli della campagna
La campagna di malvertising, attiva per almeno alcuni giorni, ha utilizzato tecniche di filtraggio avanzate per rendere più difficile il rilevamento. Una volta riprodotta la catena di distribuzione del malware, Malwarebytes ha immediatamente segnalato l’annuncio a Google. L’annuncio malevolo per Microsoft Teams, probabilmente pagato tramite un account Google compromesso, ha mostrato un URL microsoft.com ingannevole ma non aveva alcuna relazione con Microsoft. L’inserzionista, situato a Hong Kong, gestisce quasi un migliaio di annunci non correlati.
Processo di reindirizzamento Malevolo
Ogni clic sull’annuncio viene prima profilato per assicurarsi che solo persone reali (non bot o VPN) procedano, seguito da un dominio di cloaking (voipfaqs[.]com) che separa il reindirizzamento iniziale dalla pagina di atterraggio malevola (teamsbusiness[.]org). Le vittime arrivano su una pagina di decoy con un pulsante per scaricare Teams. Una richiesta viene inviata a un dominio diverso (locallyhyped[.]com) dove viene generato un payload unico per ogni visitatore.
Installazione del Malware
Una volta montato il file scaricato MicrosoftTeams_v.(xx).dmg, agli utenti viene chiesto di aprirlo tramite clic destro per bypassare il meccanismo di protezione integrato di Apple per gli installer non firmati. Durante l’installazione, gli utenti devono inserire la loro password e concedere l’accesso al file system, permettendo ad Atomic Stealer di rubare password del portachiavi e file importanti. La fase di esfiltrazione dei dati avviene tramite una singola richiesta POST a un server remoto (147.45.43[.]136) con i dati codificati.
Mitigazioni
Con l’intensificarsi delle campagne di distribuzione dei cyber criminali, diventa sempre più pericoloso scaricare applicazioni tramite motori di ricerca. Gli utenti devono navigare tra malvertising (risultati sponsorizzati) e SEO poisoning (siti compromessi). Per mitigare tali rischi, si raccomanda l’uso di strumenti di protezione del browser che possono bloccare annunci e siti web malevoli. Spesso, gli attori delle minacce si affidano a reindirizzamenti da annunci o reti compromesse che possono essere fermati prima ancora di scaricare un installer malevolo.
Link all’articolo completo su Malwarebytes
