Aktivitas ClearFake Diperluas, Targetkan Sistem Mac dengan Atomic Stealer
Cyberthreat.id - Pencuri informasi macOS yang dikenal sebagai Atomic kini dikirim ke target melalui rantai pembaruan browser web palsu yang dilacak sebagai ClearFake.
“Ini mungkin pertama kalinya kita melihat salah satu kampanye rekayasa sosial utama, yang sebelumnya disediakan untuk Windows, berkembang tidak hanya dalam hal geolokasi tetapi juga sistem operasi,” kata Jérôme Segura dari Malwarebytes dalam analisis hari Selasa sebagaimana ditulis The Hacker News.
Disebutkan, Atomic Stealer (alias AMOS), pertama kali didokumentasikan pada April 2023, adalah keluarga malware pencuri komersial yang dijual dengan basis berlangganan seharga $1.000 per bulan.
Muncul dengan kemampuan untuk menyedot data dari browser web dan dompet mata uang kripto.
Kemudian pada bulan September 2023, Malwarebytes merinci kampanye Atomic Stealer yang memanfaatkan iklan Google yang berbahaya, menipu pengguna macOS yang mencari platform pembuatan grafik keuangan yang dikenal sebagai TradingView agar mengunduh malware tersebut.
ClearFake, di sisi lain, adalah operasi distribusi malware baru yang menggunakan situs WordPress yang telah disusupi untuk memberikan pemberitahuan pembaruan browser web palsu dengan harapan menyebarkan pencuri dan malware lainnya.
Ini adalah tambahan terbaru dari kumpulan pelaku ancaman yang lebih besar seperti TA569 (alias SocGholish), RogueRaticate (FakeSG), ZPHP (SmartApeSG), dan EtherHiding yang diketahui menggunakan tema yang terkait dengan pembaruan browser palsu untuk tujuan ini.
Mulai November 2023, kampanye ClearFake telah diperluas untuk menargetkan sistem macOS dengan rantai infeksi yang hampir sama, memanfaatkan situs web yang diretas untuk mengirimkan Atomic Stealer dalam bentuk file DMG.
Perkembangan ini merupakan tanda bahwa malware pencuri terus mengandalkan file penginstal palsu atau beracun untuk perangkat lunak yang sah melalui iklan berbahaya, pengalihan mesin pencari ke situs web berbahaya, unduhan drive-by, phishing, dan keracunan SEO untuk penyebarannya.
“Popularitas pencuri seperti AMOS membuatnya cukup mudah untuk mengadaptasi muatannya ke korban yang berbeda, dengan sedikit penyesuaian,” kata Segura.
Lumma Stealer Mengklaim Menemukan Cara Mengekstrak Cookie Google yang Persisten#
Pengungkapan ini juga mengikuti pembaruan pada pencuri LummaC2 yang menggunakan teknik anti-sandbox berbasis trigonometri baru yang memaksa malware menunggu hingga perilaku "manusia" terdeteksi di mesin yang terinfeksi.
Operator malware juga telah mempromosikan fitur baru yang mereka klaim dapat digunakan untuk mengumpulkan cookie Akun Google dari komputer yang disusupi yang tidak akan kedaluwarsa atau dicabut meskipun pemiliknya mengubah sandi.
“Hal ini akan mengakibatkan perubahan besar dalam dunia kejahatan dunia maya, memungkinkan peretas menyusup ke lebih banyak akun dan melakukan serangan signifikan,” kata Alon Gal, salah satu pendiri dan CTO di Hudson Rock, dalam serangkaian postingan di LinkedIn.
“Intinya adalah bahwa cookie ini tampaknya lebih persisten dan dapat menyebabkan masuknya layanan Google yang digunakan oleh orang-orang yang diretas, dan jika klaim bahwa perubahan kata sandi tidak membatalkan sesi tersebut benar, kami melihat kemungkinan yang jauh lebih besar. masalah."[]