Atomic Stealer IOCs - Part 2

Spyware IOC
Опубликовано

Atomic Stealer, также известный как AMOS, - популярный похититель данных для Mac OS. Теперь AMOS доставляется пользователям Mac через поддельную цепочку обновлений браузера, отслеживаемую как "ClearFake". Возможно, это первый случай, когда одна из основных кампаний социальной инженерии, ранее предназначавшаяся для Windows, расширяется не только в плане геолокации, но и операционной системы.

Имея в своем распоряжении растущий список взломанных сайтов, атакующие могут охватить более широкую аудиторию, похищая учетные данные и интересующие файлы, которые можно сразу же монетизировать или использовать для дополнительных атак.

ClearFake - это новая кампания вредоносного ПО, использующего взломанные веб-сайты для распространения поддельных обновлений браузера. Первоначально она была обнаружена Рэнди Макуином в августе и с тех пор претерпела ряд обновлений, включая использование смарт-контрактов для создания механизма перенаправления, что сделало ее одной из самых распространенных и опасных схем социальной инженерии.

17 ноября исследователь безопасности Анкит Анубхав заметил, что ClearFake распространяется и среди пользователей Mac с соответствующей полезной нагрузкой.

Полезная нагрузка предназначена для пользователей Mac и представляет собой DMG-файл, выдаваемый за обновление Safari или Chrome. Жертвы получают инструкции по открытию файла, который сразу же запускает команды после запроса административного пароля.

Фальшивые обновления для браузеров уже давно стали привычной темой для пользователей Windows, однако до сих пор атакующие не распространялись на MacOS. Популярность таких крадунов, как AMOS, позволяет легко адаптировать полезную нагрузку для разных жертв, внося в нее незначительные изменения.

Indicators of Compromise

IPv4

  • 194.169.175.117

Domains

  • chalomannoakhali.com
  • jaminzaidad.com
  • longlakeweb.com
  • royaltrustrbc.com
  • thebestthings1337.online
  • wifi-ber.com

SHA256

  • 4cb531bd83a1ebf4061c98f799cdc2922059aff1a49939d427054a556e89f464
  • 5b5ffb0d2fb1f2de5147ec270d60a3ac3f02c36153c943fbfe2a3427ce39d13d
  • be634e786d5d01b91f46efd63e8d71f79b423bfb2d23459e5060a9532b4dcc7b
Похожие записи:
  1. Atomic Stealer IOCs
  2. Aurora Stealer IOCs - Part 2
  3. Вредоносная компания копирует новостной портал для распространения инфостиллера
  4. Mars Stealer IOC
  5. FFDroider Stealer IOC
Atomic ClearFake Malwarebytes Stealer
SEC-1275-1
Добавить комментарий