Een nieuwe golf van macOS-aanvallen treft ontwikkelaars via valse downloadwebsites die eruitzien als legitieme platforms als Homebrew, LogMeIn en TradingView.
Onderzoekers van Hunt.io ontdekten eerder deze maand een netwerk van meer dan 85 domeinen. Het netwerk maakt gebruik van sociale misleiding om gebruikers te overtuigen zelf malware te installeren.
De campagne verspreidt de malwarefamilies Odyssey Stealer en AMOS (Atomic macOS Stealer). Beide families richten zich op het stelen van systeeminformatie, browserdata en cryptowallet-inloggegevens. De aanvallen zijn zorgvuldig ontworpen om het vertrouwen van ontwikkelaars uit te buiten.
De valse Homebrew- en TradingView-sites tonen ogenschijnlijk legitieme downloadportalen met knoppen als Copy command. Zodra een gebruiker op de knop klikt, wordt in werkelijkheid een verborgen, base64-gecodeerd Terminal-commando naar het klembord gekopieerd. Dat commando downloadt een shellscript dat beveiligingsmaatregelen van macOS omzeilt en de malware uitvoert.
Via Google Search naar valse downloadsites
BleepingComputer ontdekte dat verkeer naar meerdere van deze domeinen, waaronder homebrewonline.org, tradingviewen.com en filmoraus.com, via betaalde advertenties op Google Search werd gestuurd. Daardoor konden de aanvallers ook nietsvermoedende gebruikers bereiken die simpelweg op zoek waren naar de officiële downloadpagina’s. In sommige gevallen werd het commando gepresenteerd als een zogenaamd beveiligingsverificatieproces, bijvoorbeeld via een nep-Cloudflarecontrole.
De technische analyse laat zien dat de malware direct na installatie probeert beheerdersrechten te verkrijgen via sudo, systeeminformatie verzamelt en processen zoals OneDrive-updates beëindigt om detectie of herstel te bemoeilijken. Vervolgens worden gevoelige gegevens zoals browsercookies, Keychain-informatie en cryptowallets geëxfiltreerd naar de command-and-controlserver.
De infrastructuur achter de campagne bestaat uit hergebruikte servers en SSL-certificaten die teruggaan tot 2023. Opvallend is dat de servers niet geregistreerd staan op organisaties, maar op individuele namen, wat wijst op een langdurige, semi-professionele operatie. De combinatie van infrastructuurhergebruik, overtuigende nepsites en nu ook malvertising toont dat de aanvallers hun tactieken voortdurend uitbreiden en verfijnen.
De inzet van betaalde advertenties markeert een volgende fase in de evolutie van macOS-malwarecampagnes. Waar aanvallers eerder vertrouwden op phishinglinks of social media, gebruiken ze nu de advertentiekanalen van zoekmachines om legitiem ogende malwareverspreiding te realiseren. De campagne blijft actief, en zowel Hunt.io als BleepingComputer verwachten dat de gebruikte infrastructuur nog verder zal worden aangepast om detectie te ontwijken.