In den letzten zwölf Monaten sind macOS-Nutzer konstant von sogenannten Infostealern bedroht worden. Diese Malware-Arten zielen darauf ab, sensible Nutzerdaten zu stehlen, wobei insbesondere Personen im Krypto-Sektor im Fokus stehen. Eine Analyse von Jamf Threat Labs sieht gezielte Malwaretising Kampagnen auf macOS-Benutzer, um deren Daten durch modifizierte Arc Browser und Meethub Downloads zu stehlen. Ein anderer Bericht von Malwarebytes sieht Windows Nutzer durch modifizierte Notion Downloads bedroht.
Laut Jamf Threat Labs werden bei einer Suche nach „Arc Browser“ auf Google gesponserte Anzeigen dargestellt, die Nutzer auf eine schädliche Website (aricl[.]net) umleitete, die den legitimen Arc-Webbrowser nachahmte. Die heruntergeladene bösartige App enthielt den Atomic Stealer, der durch einen Ad-hoc signierten DMG vertrieben wurde und mittels AppleScript Payloads zur Datendiebstahl ausführte.
Eine weitere Entdeckung betraf die Meethub.app, eine nicht signierte Anwendung, die über verdächtige Download-Links verbreitet wurde. Diese Malware verlangte das macOS-Login-Passwort des Nutzers, um Zugriff auf den Schlüsselbund zu erhalten und gleich alle sensible Informationen wie Passwörter und Kreditkartendetails auf einmal zu extrahieren.
Laut Malwarebytes zielen Malwaretising Kampagnen für Windows Nutzer auf Software Downloads wie Parsec und FreeCad, gefolgt von WinSCP, Advanced IP Scanner, Slack und Notion ab.
Das Perfide an den Ads ist, dass sie auf den ersten Blick legitim aussehen, incl. der beworbenen URL, die auf die Original URL zeigt. Man sieht also auf den Suchergebnissen nicht, dass es sich um eine bösartige Seite handelt. Durch Manipulation des Tracking URL Parameters wird man dann aber weitergeleitet auf Seiten, die täuschend echt aussehen, aber nicht die Original Domain beinhalten und Malware verseuchte Downloads anbieten. Als Schutz empfehlen wir eine Organisationsweite „sichere Quellen Politik“ einzuführen, bei der Downloads von Programmen nur aus wenigen geprüften Quellen erlaubt werden. Dies lässt sich durch Einsatz von Mobile Device und IT Management Software verpflichtend auf alle damit verbundenen Geräte ausrollen.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: