Для заманивания потенциальных жертв мошенники используют вредоносную рекламу и фейковые сайты. Известно, что сейчас инфостилер продвигается под видом установщика браузера Arc.
Если пользователь находит вредоносную рекламу, его перенаправляют на фейковый сайт airci[.]net, который замаскирован под официальный ресурс этого браузера. Таким образом пользователь скачивает фейковый установщик «ArcSetup.dmg», который содержит Atomic Stealer. При установке трояна появляется окно ввода пароля администратора, после чего инфостилер может свободно и незаметно воровать данные.
«Интересный нюанс: на вредоносный сайт нельзя зайти напрямую, в этом случае он будет выдавать ошибку. Попасть на ресурс можно только по специальной пригласительной ссылке», — отмечено в отчёте исследователей безопасности.