Falešný Microsoft Teams pro Mac instaluje Atomic Stealer

Nová podvodná reklamní kampaň láká uživatele Maců na instalaci Microsoft Teams.

Výzkumníci ze společnosti MalwareBytes nedávno objevili falešné Microsoft Teams, které distribuují Atomic Stealer.

Přestože se v URL adrese reklamy zobrazuje adresa microsoft.com, nemá se společností Microsoft vůbec nic společného. Inzerent sídlí v Hongkongu a provozuje téměř tisíc nesouvisejících reklam.

Každé kliknutí je nejprve profilováno (smart[.]link), aby bylo zajištěno, že pokračují pouze skuteční lidé (ne boti), a poté následuje maskovací doména (voipfaqs[.]com) oddělující počáteční přesměrování od škodlivé cílové stránky (teamsbusiness[.]org).

Oběti se dostanou na falešnou stránku, na které se zobrazí tlačítko pro stažení aplikace Teams. Po spuštění staženého souboru MicrosoftTeams_v.(xx).dmg jsou uživatelé instruováni, aby jej otevřeli pravým tlačítkem myši a obešli tak ochranný mechanismus společnosti Apple pro nepodepsané instalační soubory.

Po krádeži dat následuje exfiltrace, která je viditelná pouze prostřednictvím nástroje pro sběr síťových paketů. Na vzdálený webový server (147.45.43[.]136) je odeslán jediný požadavek POST se zakódovanými daty.