“Poseidon” Mac 窃取程序通过 Google 广告分发
臭名昭著的 Atomic Stealer 的竞争对手针对 Mac 用户,刚刚发起了一项新的活动来吸引更多受害者。
来源:Malwarebytes Labs 博客6 月 24 日,我们观察到一项新的活动,该活动通过针对 Arc 浏览器的恶意 Google 广告分发针对 Mac 用户的窃取程序。这是我们在过去几个月中第二次看到 Arc 被用作诱饵,这无疑表明了它的受欢迎程度。它之前曾用于投放 Windows RAT,也是通过 Google 广告。
之前用于投放 Windows RAT在最新活动中投放的 macOS 窃取程序正在积极开发中,作为 Atomic Stealer 的竞争对手,其大部分代码库与其前身相同。Malwarebytes 之前将此有效负载跟踪为 OSX.RodStealer,以指其作者 Rodrigo4。威胁行为者将新项目重新命名为“Poseidon”,并添加了一些新功能,例如窃取 VPN 配置。
Atomic Stealer OSX.RodStealer在这篇博文中,我们回顾了新 Poseidon 活动的宣传,从网络犯罪论坛公告到通过恶意广告传播新的 Mac 恶意软件。
Rodrigo4 启动新的 PR 活动
XSS 地下论坛中以 Rodrigo4 为名的威胁行为者一直在开发一种窃取程序,其功能和代码库与臭名昭著的 Atomic Stealer (AMOS) 相似。该服务包括一个带有统计信息的恶意软件面板和一个带有自定义名称、图标和 AppleScript 的构建器。该窃取程序提供的功能让人联想到 Atomic Stealer,包括:文件抓取器、加密钱包提取器、密码管理器(Bitwarden、KeePassXC)窃取程序和浏览器数据收集器。
在 6 月 23 日星期日最后编辑的一篇文章中,Rodrigo4 宣布了他们项目的新品牌:
大家好,我们发布了 V4 更新,其中有很多新内容。首先映入眼帘的是项目名称:Poseidon。为什么?为了公关管理。简单来说,人们不知道我们是谁。
通过 Google 广告分发
arcthost[.]orgC2