O Malware Atomic Stealer se Espalha Através de Páginas Falsas de Software MacOS

Um novo ataque cibernético em larga escala está visando usuários de Mac através de páginas falsas do GitHub que se passam por empresas conhecidas.

Os atacantes criam repositórios fraudulentos no GitHub que parecem oferecer softwares legítimos para macOS, de acordo com o LastPass. Na verdade, os downloads redirecionam as vítimas para um site que instala o Atomic Stealer, também conhecido como malware AMOS.

As pesquisadoras argumentaram que o malware está ativo desde abril de 2023, roubando senhas e informações financeiras dos usuários.

“Os atores da ameaça estão usando a Otimização para Mecanismos de Busca (SEO) para entregar links para seus sites maliciosos no topo das páginas de pesquisa, incluindo Bing e Google”, explicou a LastPass.

A LastPass confirmou que sua própria marca foi usada no golpe. Duas páginas do GitHub configuradas em 16 de setembro se passaram pela LastPass e incluíram links alegando “Instalar LastPass no MacBook.”

Estes redirecionaram os usuários para outra página maliciosa, que então os instruiu a executar um comando no terminal do Mac. O comando acionou um download que secretamente instalou o malware Atomic Stealer.

Ambas as páginas falsas do LastPass já foram retiradas, mas os atacantes parecem estar usando várias contas do GitHub para burlar as remoções.

“Estamos escrevendo este post no blog para aumentar a conscientização sobre a campanha e proteger nossos clientes enquanto continuamos a buscar ativamente esforços de remoção e interrupção”, disse LastPass.

A campanha não se limita ao LastPass. A empresa informa que hackers estão atacando vários setores de negócios, que incluem empresas de tecnologia e organizações financeiras, além de serviços de proteção de senhas.

A equipe de segurança do LastPass distribui indicadores de comprometimento (IoCs) para organizações para a detecção de ameaças, enquanto a empresa acompanha a situação e fornece informações adicionais.