Atomic Stealer Malware täuscht Mac-Nutzer mit gefälschten Browser-Updates

Atomic Stealer ist eine Malware, die Mac-Benutzer schon seit einiger Zeit plagt. Diesmal tricksen die Angreifer die Benutzer auf raffiniertere Weise aus, indem sie vorgeben, Browser-Updates anzubieten.

Atomic Stealer, auch bekannt als AMOS, ist ein Schädling, der Passwörter aus dem Apple iCloud-Schlüsselbund, Kryptowährungen, Dateien und andere persönliche Daten ausspähen kann. Er wurde erstmals im April 2023 von Sicherheitsexperten entdeckt, hat sich seitdem aber weiterentwickelt. Kriminelle, die Zugang zu AMOS haben, nutzen es, um ihre Opfer mit unterschiedlichen Techniken zu täuschen, unter anderem über gecrackte Software.

AMOS wird über eine fingierte Browser-Update-Kette mit dem Namen Clearfake-Kampagne verbreitet, die von dem Sicherheitsexperte Randy McEoin im August 2023 entdeckt wurde. Am 17. November fand der Sicherheitsexperte Ankit Anubhav heraus, dass die Clearfake-Kampagne für Mac-Anwender eingesetzt wird.

Ein Artikel, der von Malwarebytes veröffentlicht wurde enthüllt die Details darüber, wie der Atomic Stealer auf Benutzer abzielt. Die Angreifer nutzen falsche Anzeigen, um den Schädling zu verbreiten, indem sie legitimen Werbeplatz bei Google und anderen Diensten kaufen. Er infiziert kompromittierte Webserver, die dann als Mittel zur Verbreitung der Malware genutzt werden.

Wenn ein Nutzer nach einer Anwendung sucht, die er herunterladen möchte, findet er möglicherweise die gefälschte Anzeige und klickt darauf. Dadurch wird der Download der Datei (eine DMG-Datei) mit der Malware ausgelöst. Der ahnungslose Benutzer führt die Datei möglicherweise aus, um seinen Browser zu aktualisieren. Nach der Aufforderung zur Eingabe des administrativen Kennworts werden einige Befehle ausgeführt. Sobald der Nutzer das Passwort eingibt, stiehlt AMOS seine iCloud-Daten und -Dateien und sendet sie an einen Remote-Server. Diese Form des Angriffs wird als Malvertising bezeichnet und wird häufig verwendet, um Windows-Nutzer zu täuschen.

Die Clearfake-Kampagne ist raffiniert: Sie erkennt den Browser des Nutzers (User Agent) und bietet ein für ihn spezifisches Update an. Safari-Benutzer sehen also ein gefaktes Update, das wie eine Update-Aufforderung von Apple aussieht.

Malwarebytes zufolge könnte AMOS der erste Fall eines Social-Engineering-Angriffs sein, der ähnlich wie bei Windows auch auf macOS abzielt. Auf diese Weise können Angreifer in mehr Computer eindringen, um Phishing zu betreiben oder die Daten für weitere Attacken zu nutzen.

Es empfiehlt sich, genau darauf zu achten, von wo Sie Dateien herunterladen. Vermeiden Sie zweifelhafte Webseiten und laden Sie keine raubkopierte Software herunter. Wenn Sie Ihre Anwendungen aktualisieren möchten, besuchen Sie die offizielle Webseite. Oder Sie können Ihren Browser direkt über das Menü aktualisieren. Apple Safari bildet hier eine Ausnahme, da Updates über ein macOS-Update in den Systemeinstellungen bereitgestellt werden. Und wie immer sollten Sie einen Werbeblocker wie uBlock Origin für Firefox / Chrome oder AdGuard verwenden, um Ihren Computer vor Werbung und Malware zu schützen.

Die meisten Apps fragen nicht nach Ihrem Administratorkennwort, um ein Update zu installieren. Nehmen Sie dies also als Warnsignal, da es dazu dienen könnte, macOS Gatekeeper, das integrierte Sicherheitstool des Betriebssystems, zu umgehen.