Uma nova ameaça cibernética está mirando usuários do Mac em uma campanha de malware distribuída através de anúncios maliciosos do Google. O stealer, conhecido como ‘Poseidon’, foi descoberto em 24 de junho e utiliza anúncios falsos para o popular navegador Arc como isca. Esta é a segunda vez em poucos meses que o Arc é usado em campanhas maliciosas, destacando sua crescente popularidade entre os usuários.

O Poseidon está sendo desenvolvido como um concorrente do Atomic Stealer, com grande parte de seu código base compartilhado com seu predecessor. O Malwarebytes estava rastreando essa ameaça como OSX.RodStealer, batizada em referência ao seu autor, conhecido no fórum underground XSS como Rodrigo4. Com a nova marca, Poseidon, o malware ganhou recursos adicionais, como a capacidade de roubar configurações de VPN.

A campanha, denominada CapraTube, visa enganar os usuários para que baixem um arquivo DMG malicioso que se passa por uma instalação legítima do navegador Arc. Uma vez instalado, o malware usa WebView para abrir URLs de sites legítimos como YouTube ou CrazyGames.com, enquanto, em segundo plano, acessa dados sensíveis, incluindo localização, mensagens SMS, contatos e registros de chamadas.

Além das capacidades de roubo de dados, o Poseidon foi desenvolvido para ser difícil de detectar e remover. Ele não solicita permissões óbvias que poderiam levantar suspeitas, como as de leitura de sessões de instalação ou autenticação de contas, focando em ser uma ferramenta de vigilância mais do que um backdoor.