Home Sociedad La campaña ClearFake se expande para apuntar a sistemas Mac con Atomic...

La campaña ClearFake se expande para apuntar a sistemas Mac con Atomic Stealer

El ladrón de información de macOS, conocido como Atomic, ahora se entrega al objetivo a través de una cadena de actualización de navegador web falsa rastreada como ClearFake.

Atomic Stealer (también conocido como AMOS), documentado por primera vez en abril de 2023, es una familia de malware ladrón comercial que se vende mediante suscripción por 1.000 dólares al mes. Viene con capacidades para desviar datos de navegadores web y billeteras de criptomonedas.

Luego, en septiembre de 2023, Malwarebytes detalló una campaña de Atomic Stealer que aprovecha los anuncios maliciosos de Google, engañando a los usuarios de macOS que buscan una plataforma de gráficos financieros conocida como TradingView para que descarguen el malware.

ClearFake, por otro lado, es una incipiente operación de distribución de malware que emplea sitios de WordPress comprometidos para enviar avisos fraudulentos de actualización del navegador web con la esperanza de implementar ladrones y otro malware.

Es la última incorporación a un grupo más grande de actores de amenazas como TA569 (también conocido como SocGholish), RogueRticate (FakeSG), ZPHP (SmartApeSG) y EtherHiding, que se sabe que utilizan temas relacionados con actualizaciones falsas del navegador para este propósito.

A partir de noviembre de 2023, la campaña ClearFake se amplió para apuntar a sistemas macOS con una cadena de infección casi idéntica, aprovechando sitios web pirateados para entregar Atomic Stealer en forma de archivo DMG.

Este desarrollo es una señal de que el malware ladrón continúa dependiendo de archivos de instalación falsos o envenenados para software legítimo a través de anuncios maliciosos, redireccionamientos de motores de búsqueda a sitios web maliciosos, descargas no autorizadas, phishing y envenenamiento de SEO para su propagación.

Los operadores del malware también han estado promocionando una nueva característica que, según afirman, puede usarse para recopilar cookies de cuentas de Google de computadoras comprometidas que no caducan ni serán revocadas incluso si el propietario cambia la contraseña.