Atomic macOS Stealer-malware

Cybersikkerhedsforskere har afdækket en ny malwarekampagne, der udnytter den vildledende social engineering-taktik kendt som ClickFix til at distribuere Atomic macOS Stealer (AMOS), en informationsstjælende malware designet til at kompromittere Apple macOS-systemer.

Typosquat-taktikker: Efterligning af spektrum

Angriberne bag denne kampagne bruger typosquat-domæner, der efterligner den amerikanske teleudbyder Spectrum, og bruger falske websteder som panel-spectrum.net og spectrum-ticket.net til at lokke intetanende brugere. Disse domæner, der ligner hinanden, er designet til at virke legitime, hvilket øger sandsynligheden for brugertillid og interaktion.

Ondsindet shell-script: Den skjulte nyttelast

Alle macOS-brugere, der besøger disse forfalskede websteder, modtager et ondsindet shell-script. Dette script beder ofrene om at indtaste deres systemadgangskode og fortsætter med at stjæle legitimationsoplysninger, omgå macOS-sikkerhedskontroller og installere en variant af AMOS-malwaren til yderligere udnyttelse. Indbyggede macOS-kommandoer bruges til at maksimere scriptets effektivitet, samtidig med at de opretholder en lav profil.

Oprindelsesspor: Kommentarer til russisksproget kode

Beviser tyder på, at russisktalende cyberkriminelle kan stå bag denne kampagne. Forskerne fandt russisksprogede kommentarer indlejret i malwarens kildekode, hvilket peger på trusselsaktørernes sandsynlige geografiske og sproglige oprindelse.

Vildledende CAPTCHA: ClickFix-lokkemidlet

Angrebet starter med en falsk hCaptcha-bekræftelsesbesked, der hævder at kontrollere brugerens forbindelsessikkerhed. Efter at have klikket på afkrydsningsfeltet 'Jeg er et menneske', mødes brugerne med en falsk fejlmeddelelse: 'CAPTCHA-bekræftelse mislykkedes'. De bliver derefter bedt om at fortsætte med en "Alternativ Bekræftelse".

Denne handling kopierer en ondsindet kommando til udklipsholderen og viser instruktioner baseret på brugerens operativsystem. På macOS bliver ofrene guidet til at indsætte og køre kommandoen i Terminal-appen, hvilket starter download af AMOS.

Slusket udførelse: Spor i koden

Trods kampagnens farlige hensigt bemærkede forskerne uoverensstemmelser i angrebsinfrastrukturen. Dårlig logik og programmeringsfejl blev observeret på leveringssiderne, såsom:

• PowerShell-kommandoer kopieres til Linux-brugere.
• Windows-specifikke instruktioner vist til både Windows- og Mac-brugere.
• Uoverensstemmelser i frontend mellem vist operativsystem og instruktioner.

ClickFix' fremgang: En voksende trusselvektor

Denne udvikling er en del af en stigende tendens i brugen af ClickFix-taktikken på tværs af flere malwarekampagner i løbet af det seneste år. Trusselaktører bruger konsekvent lignende teknikker, værktøjer og procedurer (TTP'er) til indledende adgang, oftest:

• Spear phishing
• Drive-by downloads
• Ondsindede links delt via betroede platforme som GitHub

Falske løsninger, reel skade: Social manipulation når det er værst

Ofrene bliver narret til at tro, at de løser et godartet teknisk problem. I virkeligheden udfører de skadelige kommandoer, der installerer malware. Denne form for social engineering er yderst effektiv til at omgå brugerbevidsthed og standard sikkerhedsmekanismer.

Voksende effekt: Global spredning og forskelligartede nyttelaster

ClickFix-kampagner er blevet registreret på tværs af kundemiljøer i USA, Europa, Mellemøsten og Afrika (EMEA). Disse angreb er i stigende grad diversificerede og leverer ikke kun tyveprogrammer som AMOS, men også trojanske heste og ransomware. Selvom nyttelasten kan variere, forbliver kernemetoden den samme: manipulation af brugeradfærd for at kompromittere sikkerheden.

Konklusion: Årvågenhed påkrævet

Denne kampagne understreger vigtigheden af løbende årvågenhed, brugeruddannelse og robuste sikkerhedskontroller. Efterhånden som social engineering-taktikker som ClickFix udvikler sig, skal både organisationer og enkeltpersoner holde sig informerede og forberedte på at genkende og blokere sådanne vildledende trusler.