​A 포세이돈 competitor of the infamous Atomic Stealer targeting Mac users, has just launched a new campaign to lure in more victims.​[본문 중 번역]​6월 24일, 우리는 Arc 브라우저에 대한 악성 Google 광고를 통해 Mac 사용자를 대상으로 하는 스틸러를 배포하는 새로운 캠페인을 포세이돈 관찰했습니다. 이는 지난 몇 달 동안 Arc가 미끼로 사용되는 것을 본 두 번째이며, 확실히 인기의 신호입니다. 이전에는 Google 광고를 통해 Windows RAT를 드롭하는 데 사용되었습니다 .​이 최신 캠페인에서 드롭되는 macOS 스틸러는 Atomic Stealer 경쟁자로 적극적으로 개발되고 있으며, 코드 베이스의 포세이돈 상당 부분이 이전 버전과 동일합니다. Malwarebytes는 이전에 이 페이로드를 작성자 Rodrigo4를 참조하여 OSX.RodStealer 로 추적 했습니다. 위협 행위자는 새로운 프로젝트 'Poseidon'의 이름을 바꾸고 VPN 구성 약탈과 같은 몇 가지 새로운 기능을 추가했습니다.​이 블로그 게시물에서는 사이버 범죄 포럼 발표에 나온 포세이돈 새로운 포세이돈 캠페인 광고부터 멀버타이징을 통한 새로운 Mac 맬웨어 배포까지 살펴보겠습니다.​Rodrigo4가 새로운 홍보 캠페인을 시작합니다XSS 언더그라운드 포럼에서 Rodrigo4라는 핸들로 알려진 위협 행위자는 악명 높은 Atomic Stealer(AMOS)와 유사한 기능과 코드 기반을 가진 스틸러를 개발해 왔습니다. 이 서비스는 통계가 있는 맬웨어 포세이돈 패널과 사용자 지정 이름, 아이콘 및 AppleScript가 있는 빌더로 구성되어 있습니다. 스틸러는 파일 그래버, 암호 지갑 추출기, 비밀번호 관리자(Bitwarden, KeePassXC) 스틸러, 브라우저 데이터 수집기를 포함하여 Atomic Stealer와 유사한 기능을 제공합니다.​6월 23일 일요일에 마지막으로 편집된 게시물에서 Rodrigo4는 프로젝트에 대한 새로운 포세이돈 브랜딩을 발표했습니다.XSS에 대한 Rodrigo4의 포럼 게시물​안녕하세요 여러분, V4 업데이트를 출시했고 새로운 것이 꽤 많습니다. 가장 먼저 눈에 띄는 것은 프로젝트 이름인 포세이돈입니다. 왜 그럴까요? 홍보 관리를 위해서입니다. 간단히 말해서, 사람들은 우리가 누구인지 몰랐습니다.맬웨어 작성자에게는 홍보가 필요하지만, 우리는 사실에 집중하고 포세이돈 실제 맬웨어 전달 캠페인에서 관찰한 내용을 고수하려고 노력할 것입니다.​​Google 광고를 통한 배포'Coles &ampCo'소유의 Arc 브라우저에 대한 광고가 arcthost[.]org 도메인 이름에 링크되어 있는 것을 보았습니다 .Google 검색을 통한 Arc 브라우저의 악성 광고​광고를 클릭한 사람들은 Mac용 Arc만을 제공하는 완전히 가짜 사이트인 포세이돈 arc-download[.]com 으로 리디렉션되었습니다.Arc를 위한 Decoy 웹사이트​다운로드한 DMG 파일은 보안 보호 기능을 우회하기 위한 마우스 오른쪽 클릭 열기 트릭을 제외하고는 새로운 Mac 애플리케이션을 설치할 때 예상할 수 있는 것과 유사합니다.악성 Arc DMG 설치 프로그램​악성코드, Lena 스킬을 학습할 수 있는 보안 포세이돈 · 네트워크 로드맵을 인프런에서 만나보세요.​