Malvertising-Kampagne für Microsoft-Teams verbreitet Infostealer für macOS

Eine neue Malvertising-Kampagne wird derzeit benutzt, um die auf Apple macOS ausgerichtete Schadsoftware Atomic Stealer zu verbreiten. Malwarebytes zufolge setzen die Hintermänner auf die Popularität von Microsofts Kommunikationstool Teams, um Anwender zu Klicks auf die schädlichen Anzeigen zu verleiten.

Die Forscher vermuten, dass die als Google-Suchwerbung geschalteten Anzeigen über ein kompromittiertes Google-Anzeigenkonto bezahlt wurden. Anfänglich hätten die Anzeigen Nutzer sogar zu Microsofts Teams-Website weitergeleitet. Sie sei später aber durch eine gefälschte Teams-Seite ersetzt worden. Einer Entdeckung durch Google seien die Cyberkriminellen unter anderem durch den Einsatz sogenannter Cloaking-Domains entgangen.

Die dort zum Download angebotene Datei „MicrosoftTeams_v.(xx).dmg“ war der Analyse von Malwarebytes zufolge nicht signiert. Deswegen wurden Nutzer angewiesen, sie per rechtem Mausklick zu öffnen, um die Installation einer nicht signierten Anwendung zu erlauben – durch die Eingabe ihres Kennworts und die Gewährung des Zugriffs auf das Dateisystem. „Das mag für jemanden, der ein neues Programm installieren will, nicht ungewöhnlich sein, aber es ist genau das, was Atomic Stealer braucht, um Passwörter aus dem Schlüsselbund und wichtige Dateien abzugreifen“, teilte der Sicherheitsanbieter mit.

Google wurde inzwischen über die schädliche Anzeigenkampagne informiert. Malwarebytes warnt indes vor dem Download von Anwendungen über Anzeigen in Suchergebnissen.