Malware Atomic macOS Stealer

Výzkumníci v oblasti kybernetické bezpečnosti odhalili novou malwarovou kampaň, která využívá klamavou taktiku sociálního inženýrství známou jako ClickFix k distribuci Atomic macOS Stealer (AMOS), malwaru kradnoucího informace, jehož cílem je napadnout systémy Apple macOS.

Taktika Typosquatu: Vydávání se za Spectrum

Útočníci stojící za touto kampaní používají domény s překlepy, které napodobují amerického telekomunikačního operátora Spectrum, a k nalákání nic netušících uživatelů využívají podvodné webové stránky jako panel-spectrum.net a spectrum-ticket.net. Tyto zdánlivě podobné domény jsou vytvořeny tak, aby vypadaly legitimně, což zvyšuje pravděpodobnost důvěry a interakce uživatelů.

Škodlivý skript Shell: Skrytý užitečný obsah

Všem uživatelům macOS, kteří navštíví tyto falešné stránky, je spuštěn škodlivý shell skript. Tento skript vyzve oběti k zadání systémového hesla a následně ukradne přihlašovací údaje, obejde bezpečnostní kontroly macOS a nainstaluje variantu malwaru AMOS pro další zneužití. Nativní příkazy macOS se používají k maximalizaci efektivity skriptu a zároveň k zachování jeho nenápadnosti.

Stopy původu: Komentáře k ruskojazyčnému kódu

Důkazy naznačují, že za touto kampaní mohou stát rusky mluvící kyberzločinci. Výzkumníci našli v zdrojovém kódu malwaru komentáře v ruském jazyce, které poukazují na pravděpodobný geografický a jazykový původ útočníků.

Klamavá CAPTCHA: Lákadlo ClickFixu

Útok začíná falešnou ověřovací zprávou hCaptcha, která údajně kontroluje zabezpečení připojení uživatele. Po kliknutí na zaškrtávací políčko „Jsem člověk“ se uživatelům zobrazí falešná chybová zpráva: „Ověření CAPTCHA selhalo“. Poté jsou vyzváni k provedení „alternativního ověření“.

Tato akce zkopíruje škodlivý příkaz do schránky a zobrazí pokyny na základě operačního systému uživatele. V systému macOS jsou oběti vedeny k vložení a spuštění příkazu v aplikaci Terminál, čímž se spustí stahování souboru AMOS.

Nedbalé provedení: Stopy v kódu

Navzdory nebezpečnému záměru kampaně si výzkumníci všimli nesrovnalostí v útočné infrastruktuře. Na stránkách pro doručování byly pozorovány špatné logické a programátorské chyby, například:

• Kopírování příkazů PowerShellu pro uživatele Linuxu.
• Pokyny specifické pro Windows zobrazené uživatelům Windows i Mac.
• Neshody mezi zobrazeným operačním systémem a instrukcemi v front-endu.

• Tyto chyby naznačují narychlo vybudovanou nebo špatně udržovanou útočnou infrastrukturu.

Vzestup ClickFixu: Rozšiřující se vektor hrozby

Tento vývoj je součástí rostoucího trendu používání taktiky ClickFix v rámci řady malwarových kampaní v uplynulém roce. Útočníci konzistentně používají podobné techniky, nástroje a postupy (TTP) pro počáteční přístup, nejčastěji:

• Spear phishing
• Stahování z auta
• Škodlivé odkazy sdílené prostřednictvím důvěryhodných platforem, jako je GitHub

Falešné opravy, skutečné škody: Sociální inženýrství v nejhorší podobě

Oběti jsou podvedeny k domněnce, že řeší neškodný technický problém. Ve skutečnosti však provádějí škodlivé příkazy, které instalují malware. Tato forma sociálního inženýrství je vysoce účinná při obcházení povědomí uživatelů a standardních bezpečnostních mechanismů.

Rostoucí dopad: Globální rozšíření a rozmanité užitečné zatížení

Kampaně ClickFix byly detekovány v zákaznických prostředích ve Spojených státech, Evropě, na Středním východě a v Africe (EMEA). Tyto útoky jsou stále diverzifikovanější a zahrnují nejen stealery jako AMOS, ale také trojské koně a ransomware. I když se obsah útoků může lišit, základní metodologie zůstává konzistentní: manipulace s chováním uživatelů za účelem ohrožení bezpečnosti.

Závěr: Je nutná ostražitost

Tato kampaň zdůrazňuje důležitost neustálé ostražitosti, vzdělávání uživatelů a robustních bezpečnostních kontrol. S vývojem taktik sociálního inženýrství, jako je ClickFix, musí organizace i jednotlivci zůstat informováni a připraveni rozpoznat a blokovat takové klamavé hrozby.