Cyberkriminelle schalten geschickte Werbung für den Arc-Webbrowser – doch statt des Browsers landet Poseidon ein infizierter Infostealer auf Macs. Mac-Nutzer sind gezielt das Ziel der Angreifer.
Eine neue Welle der Malvertising-Kampagnen
Die IT-Forscher von Malwarebytes hatten letzte Woche ein neues Malvertising beobachtet, bei dem über manipulierte Google-Werbung die Poseidon-Malware für den Arc-Browser verbreitet wurde: Das sei das zweite Mal. Dass Arc-Browser als Köder genutzt werde – damals verteilte man ein Remote-Access-Toolkit für Windows.
Wettbewerb unter Malware-Gruppen?
Aktuell wird die Poseidon-Malware – als direkter Konkurrent zu Atomic Stealer – aktiv weiterentwickelt. Eine signifikante Menge des Codes basiert auf der Vorgängerversion: Die Erkennung lautet auf den Namen OSX.RodStealer. Er umbenannte die Malware in Poseidon und fügte neue Funktionen hinzu. Beispielsweise kann VPN-Konfigurationen auslesen. Es scheint Rodrigo4 der auf einem Untergrundforum unter diesem Namen agiert arbeitet mit einer ähnlichen Codebasis wie Atomic Stealer und bietet ein umfassendes Servicepaket für Käufer. Eingebaut sind Statistiken & Anpassungsoptionen wie Namen, Icons – und AppleScript.
Intrusivere Funktionen
Die Poseidon-Malware kann weiterhin als nur Daten stehlen – vom Datei-Sammler und Krypto-Wallet-Extraktor bis hin zu Passwort-Manager-Auslesern. Angreifbar sind Bitwarden & KeePassXC. Auch Browserdaten werden gesammelt.
Hinter der Google-Werbung
Eine vermeintliche Firma namens „Coles & Co“ hat die Werbung laut Malwarebytes geschaltet: Die Domain verweist auf arcthost[.]org. Wer klickt, wird zu arc-download[.]com umgeleitet. Das dort angebotene DMG-Archiv sieht aus wie eine legitime Mac-App – jedoch fordert eine ungewöhnliche Anweisung dazu auf die Datei mit einem Rechtsklick zu öffnen – was Sicherheitsvorkehrungen umgeht.
Macs ins Visier genommen
Eine lebhafte Szene von Entwicklern konzentriert sich auf Malware für Macs, außerdem sind Infostealer sehr beliebt. Die "Malware-as-a-Service"-Anbieter verkaufen umfangreiche Funktionen und ebenfalls niedrige Erkennungsraten bei Antivirensoftware – dies verdeutlicht die ernsthafte Bedrohung.
Wachsende Bedrohung
Diese weiterhin beobachteten Kampagnen zeigen, ebenso wie echt die Bedrohung ist. Nutzer müssen stets aufmerksam bleiben – besonders beim Herunterladen und Installieren neuer Apps.
Frühere Vorfälle
Malwarebytes-Analysten hatten auch im April ähnliche Malvertising-Kampagnen bemerkt: Damals zielten die Akteure auf Systemadministratoren ab.
Kommentare