详细内容或原文请订阅后点击阅览
假冒 Microsoft Teams for Mac 提供 Atomic Stealer
在新的恶意软件活动中,威胁行为者使用 Google 广告来瞄准想要下载 Microsoft Teams 的 Mac 用户。
来源:Malwarebytes Labs 博客macOS 窃取者之间的竞争正在升温,新的恶意广告活动通过 Microsoft Teams 的欺诈性广告引诱 Mac 用户。这次攻击紧随新的 Poseidon (OSX.RodStealer) 项目之后,这是另一个使用类似代码库和交付技术的威胁。
Poseidon根据我们的跟踪,Microsoft Teams 再次成为威胁行为者竞标的热门关键字,这是我们第一次看到 Atomic Stealer 使用它。Zoom、Webex 或 Slack 等通信工具历来受到犯罪分子的青睐,他们将其打包成带有恶意软件的虚假安装程序。
这项最新的恶意广告活动至少持续了几天,并使用了高级过滤技术,使其更难被发现。一旦我们能够重现完整的恶意软件交付链,我们就会立即向 Google 报告该广告。
Microsoft Teams 的热门搜索结果
我们能够可靠地搜索并看到相同的 Microsoft Teams 恶意广告,该广告很可能是由受感染的 Google 广告帐户支付的。几天来,我们没有看到任何恶意行为,因为广告直接重定向到 Microsoft 的网站。经过多次尝试和调整,我们终于看到了完整的攻击链。
尽管在广告的显示网址中显示了 microsoft.com 网址,但它与 Microsoft 完全无关。广告商位于香港,投放了近一千条不相关的广告。
microsoft.com恶意重定向和有效载荷
我们通过记录网络捕获确认该广告确实是恶意的(见下文)。每次点击都会首先进行分析(smart[.]link),以确保只有真人(而非机器人、VPN)才能继续,然后使用隐藏域(voipfaqs[.]com)将初始重定向与恶意登陆(诱饵)页面(teamsbusiness[.]org)分开。
smart[.]link voipfaqs[.]com teamsbusiness[.]org MicrosoftTeams_v.(xx).dmg缓解措施
浏览器保护工具Malwarebytes for Mac 将此威胁检测为 OSX.AtomStealer:
Malwarebytes for Mac入侵指标
诱饵网站