Аналитики Malwarebytes обнаружили кампанию, распространяющую похитителя Mac через вредоносную рекламу Google для браузера Arc. Стилер, получивший название "Poseidon", является развитием Atomic Stealer и ранее отслеживался Malwarebytes как OSX.RodStealer.
Новый стилер включает в себя такие функции, как похищение VPN-конфигураций от Fortinet и OpenVPN.
Rodrigo4, злоумышленник на подпольном форуме XSS, провел ребрендинг проекта и анонсировал его 23 июня 2024 года. Poseidon включает в себя такие функции, как захват файлов, извлечение криптокошельков, кража менеджера паролей и сбор данных из браузера. Для утечки данных использовалась специальная команда, которая отправляла данные на сервер, где стояла фирменная панель Poseidon.
Метод распространения Poseidon's stealer включал вредоносную рекламу Google для браузера Arc, перенаправляющую пользователей на поддельный сайт arc-download[.]com, где загружался DMG-файл. Этот файл содержал трюк, позволяющий обойти средства защиты Mac.
Это уже вторая за последние месяцы кампания, в которой браузер Arc используется в качестве приманки во вредоносной рекламе Google. Первая кампания была связана с распространением RAT для Windows с использованием аналогичных методов.
Indicators of Compromise
Domains
- arc-download.com
- arcthost.org
URLs
- 79.137.192.4/p2p
- zestyahhdog.com/Arc12645413.dmg
SHA256
- c1693ee747e31541919f84dfa89e36ca5b74074044b181656d95d7f40af34a05
