ClearFake ataca computadores Apple com malware Atomic Stealer

Depois de atingir usuários do Windows, falsa campanha de atualização ClearFake ataca computadores Apple com malware Atomic Stealer.

A falsa campanha de atualização do navegador ‘ClearFake’ se expandiu para o macOS, visando computadores Apple com malware Atomic Stealer (AMOS).

ClearFake ataca computadores Apple com malware Atomic Stealer

ClearFake ataca computadores Apple com malware Atomic Stealer – Sobreposição de atualização falsa direcionada a usuários do macOS Fonte: Malwarebytes

A campanha ClearFake começou em julho deste ano para atingir usuários do Windows com avisos falsos de atualização do Chrome que aparecem em sites violados por meio de injeções de JavaScript.

Em outubro de 2023, o Guardio Labs descobriu um desenvolvimento significativo para a operação maliciosa, que aproveitou os contratos da Binance Smart Chain para ocultar seus scripts maliciosos que apoiam a cadeia de infecção no blockchain.

Por meio dessa técnica, apelidada de “EtherHiding”, os operadores distribuíram cargas direcionadas ao Windows, incluindo malwares que roubam informações, como RedLine, Amadey e Lumma.

Em 17 de novembro de 2023, o analista de ameaças Ankit Anubhav relatou que ClearFake começou a enviar cargas DMG para usuários do macOS que visitam sites comprometidos.

Um relatório do Malwarebytes do início desta semana confirma esse desenvolvimento, relatando que esses ataques empregam uma isca de atualização do Safari junto com a sobreposição padrão do Chrome.

A carga descartada nesses casos é o Atomic, um malware de roubo de informações vendido a cibercriminosos por meio de canais do Telegram por US$ 1.000/mês.

ClearFake ataca computadores Apple com malware Atomic Stealer – Atomic stealer disfarçado de atualização do Safari Fonte: Malwarebytes

O Atomic foi descoberto em abril de 2023 por Trellix e Cyble, que relataram que ele tenta roubar senhas, cookies e cartões de crédito armazenados em navegadores, arquivos locais, dados de mais de 50 extensões de criptomoeda e senhas de chaveiros.

A senha do chaveiro é o gerenciador de senhas integrado do macOS que contém senhas de WiFi, logins de sites, dados de cartão de crédito e outras informações criptografadas, portanto, seu comprometimento pode resultar em uma violação significativa para a vítima.

O exame das strings da carga útil pelo Malwarebyte revela uma série de comandos para extrair dados confidenciais, como senhas, e direcionar arquivos de documentos, imagens, arquivos de carteira criptografada e chaves.

Sequência de comandos no código do Atomic Fonte: Malwarebytes

A campanha ClearFake agora voltada para Macs é um lembrete para os usuários da Apple fortalecerem sua segurança e terem cuidado com os downloads, especialmente com avisos para atualizar seu navegador ao visitar sites.

Mesmo depois de vários meses após a descoberta e os relatórios do Atomic, a carga útil não é detectada por cerca de 50% dos mecanismos AV no VirusTotal.

Além disso, todas as atualizações do navegador Safari serão distribuídas por meio da Atualização de Software do macOS ou, para outros navegadores, dentro do próprio navegador.

Portanto, se você receber alguma solicitação para baixar atualizações do navegador em sites, ela deverá ser ignorada.

Sair da versão mobile