Die beiden Infostealer  Atomic Stealer und Meethub  gefährden Apple macOS Rechner und die Geldbörsen der Nutzer.

The two infostealers Atomic Stealer and Meethub threaten Apple MacOS computers and users‘ wallets.

 

Gefahr für Nutzerdaten und Bitcoins: Jamf Threat Labs hat zwei verschiedene auf Apple macOS ausgerichtete Infostealer-Angriffsmethoden identifiziert und analysiert:

1.) Atomic Stealer-Angriffe über Werbeanzeigen

Bei einer Google-Suche nach dem Arc-Webbrowser konnte das Jamf Threat Labs-Team feststellen, dass die gesponserte Werbeanzeige bei dieser Suche zu einer bösartigen statt der legitimen arc.net-Website führt. Die bösartige Website kann zudem nur über diesen gesponserten Link aufgerufen werden.

Über diese Website wurden die macOS-Systeme der Nutzer mit der bereits in der Vergangenheit gut dokumentierten Infostealer-Software Atomic Stealer infiziert. In der tatsächlichen Funktionsweise konnten keine wesentlichen Änderungen im Vergleich zu früheren Versionen von Atomic Stealer festgestellt werden: Die Nutzer werden über eine gefälschte AppleScript-Eingabeaufforderung dazu gebracht, ihr macOS-Passwort einzugeben. Die Angreifer nutzen dieses Passwort dann, um Zugang zu weiteren Passwörtern und Informationen zu erlangen.

2.) Angriffe über Meethub

Das Threat Labs-Team konnte außerdem eine Angriffsmethode identifizieren, bei der die Meeting-Software Meethub genutzt wurde. Meethub ist mit einer soliden Präsenz auf Plattformen wie Telegram und X vertreten (auf letzterer mit mehr als 8.000 Followern, wahrscheinlich eine Mischung aus Bots und realen Nutzer, von denen viele in ihrem Profil ein Interesse an Kryptowährungen angegeben hatten).

Opfer dieser Angriffsmethode wurden von den Angreifern per Direktnachricht auf den Plattformen kontaktiert, um beispielsweise ein Angebot für die Aufnahme eines Podcasts zum Thema Kryptowährungen oder ein Jobangebot in der Branche zu besprechen. Für dieses Gespräch wurde von den Angreifern Meethub als Videokonferenzlösung vorgeschlagen. Beim kostenlosen Download der Meethub-Software wurde dann auf den macOS-Systemen der Opfer gleichzeitig eine Infostealer-Software mitinstalliert, die Nutzer per gefälschter AppleScript-Eingabeaufforderung zur Herausgabe ihres macOS-Passwort bewegen sollte.

Wer ist betroffen?

Die beiden Infostealer-Angriffsmethoden kamen bei Angriffen gegen Nutzer von macOS-Betriebssystemen zum Einsatz. Diese galten lange Zeit als sicherer als Windows-Betriebssysteme, denn der Aufwand für Angreifer, für die im Vergleich relativ geringe Anzahl an Mac-Systemen speziell angepasste Angriffsmethoden zu planen und umzusetzen, war zu hoch. Mit der zunehmenden Verbreitung und Nutzung von Mac-Betriebssystemen und -Endgeräten lohnt sich dieser Aufwand jedoch immer mehr und Mac-Nutzer sollten, genau wie Windows-Nutzer, entsprechend vorsichtig agieren.

Außerdem waren primär Nutzer, die in der Kryptowährungsbranche tätig sind, Ziel der beiden oben beschriebenen Angriffe. Die Gründe sind offensichtlich: In dieser Branche können Angreifer oftmals große Geldmengen erbeuten, die zudem üblicherweise relativ geringer regulatorischer Überwachung und Strafverfolgung unterliegen. Damit können die Angreifer ihre Beute einfach „verschwinden lassen“.

Nutzer aus der Krypto-Branche sollten deshalb besonders vorsichtig hinsichtlich potenzieller Social-Engineering-Angriffe sein, denn in vielen Fällen lässt sich relativ leicht anhand öffentlich zugänglicher Informationen herausfinden, ob jemand in der Branche tätig ist oder über signifikante Investitionen in Kryptowährungen verfügt. Scamming und Social Engineering gelten nach wie vor als Angriffe, in die Opfer quasi durch Zufall geraten, aber in vielen Fällen recherchieren und kontaktieren die Angreifer ihre Opfer auch bei diesen Ansätzen proaktiv.

User data and Bitcoins at risk: Jamf Threat Labs has identified and analyzed two different infostealer attack vectors targeting Apple MacOS:

1.) Atomic Stealer Advertisement Attacks

In a Google search for the arc web browser, the Jamf Threat Labs team found that the sponsored ad in this search leads to a malicious website instead of the legitimate arc.net website. The malicious site is also only accessible through this sponsored link.

This website was used to infect users‘ MacOS systems with the already well-documented information stealer Atomic Stealer. No significant changes were detected in the actual functionality compared to previous versions of Atomic Stealer: Users are tricked into entering their MacOS password via a fake AppleScript prompt. The attackers then use this password to gain access to other passwords and information.

2) Attacks via Meethub

The Threat Labs team also identified an attack method using the Meethub meeting software. Meethub has a solid presence on platforms such as Telegram and X (the latter with more than 8,000 followers, likely a mix of bots and real users, many of whom had indicated an interest in cryptocurrencies in their profile).

Victims of this attack method were contacted by the attackers via direct messages on the platforms to discuss, for example, an offer to record a podcast on cryptocurrencies or a job offer in the industry. The attackers suggested Meethub as a video conferencing solution for this conversation. When the Meethub software was downloaded for free, Infostealer software was also installed on the victims‘ MacOS systems to trick them into revealing their MacOS password via a fake AppleScript prompt.

Who is affected?

The two Infostealer attack vectors have been used in attacks against users of MacOS operating systems. Mac OS has long been considered more secure than Windows operating systems, as the effort for attackers to plan and implement custom attack methods for the relatively small number of Mac systems was too high. However, with the increasing adoption and use of Mac operating systems and endpoints, this effort is becoming more worthwhile, and Mac users should be just as cautious as Windows users.

In addition, users working in the cryptocurrency industry were the primary targets of the two attacks described above. The reasons are obvious: In this industry, attackers can often steal large amounts of money, which is also subject to relatively little regulatory oversight and law enforcement. This means that attackers can simply „disappear“ their loot.

Users in the crypto industry should therefore be particularly wary of potential social engineering attacks, as in many cases it is relatively easy to find out from publicly available information whether someone is active in the industry or has significant investments in cryptocurrencies. Scamming and social engineering are still considered attacks that victims fall into almost by accident, but in many cases attackers are proactively researching and contacting their victims using these approaches.

Von Jakob Jung

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM. Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM. Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

WordPress Cookie Hinweis von Real Cookie Banner