Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό Mac Κακόβουλο λογισμικό Atomic macOS Stealer

Κακόβουλο λογισμικό Atomic macOS Stealer

Μέχρι το Mezo το Κακόβουλο λογισμικό Mac
Μετάφραση σε:

Ερευνητές κυβερνοασφάλειας αποκάλυψαν μια νέα καμπάνια κακόβουλου λογισμικού που αξιοποιεί την παραπλανητική τακτική κοινωνικής μηχανικής γνωστή ως ClickFix για τη διανομή του Atomic macOS Stealer (AMOS), ενός κακόβουλου λογισμικού κλοπής πληροφοριών που έχει σχεδιαστεί για να θέσει σε κίνδυνο τα συστήματα macOS της Apple.

Τακτικές Typosquat: Μίμηση του Φάσματος

Οι επιτιθέμενοι πίσω από αυτήν την καμπάνια χρησιμοποιούν typosquat domains που μιμούνται τον αμερικανικό πάροχο τηλεπικοινωνιών Spectrum, χρησιμοποιώντας δόλιες ιστοσελίδες όπως το panel-spectrum.net και το spectrum-ticket.net για να προσελκύσουν ανυποψίαστους χρήστες. Αυτά τα παρόμοια domains έχουν σχεδιαστεί για να φαίνονται νόμιμα, αυξάνοντας την πιθανότητα εμπιστοσύνης και αλληλεπίδρασης των χρηστών.

Κακόβουλο Shell Script: Το Κρυφό Φορτίο

Σε όλους τους χρήστες macOS που επισκέπτονται αυτούς τους πλαστογραφημένους ιστότοπους εμφανίζεται ένα κακόβουλο shell script. Αυτό το script ζητά από τα θύματα να εισάγουν τον κωδικό πρόσβασης του συστήματός τους και προχωρά στην κλοπή διαπιστευτηρίων, στην παράκαμψη των στοιχείων ελέγχου ασφαλείας του macOS και στην εγκατάσταση μιας παραλλαγής του κακόβουλου λογισμικού AMOS για περαιτέρω εκμετάλλευση. Χρησιμοποιούνται εγγενείς εντολές macOS για τη μεγιστοποίηση της αποτελεσματικότητας του script, διατηρώντας παράλληλα χαμηλό προφίλ.

Ίχνη προέλευσης: Ρωσικός κώδικας γλώσσας Σχόλια

Τα στοιχεία υποδηλώνουν ότι πίσω από αυτήν την εκστρατεία ενδέχεται να βρίσκονται ρωσόφωνοι κυβερνοεγκληματίες. Οι ερευνητές βρήκαν σχόλια στη ρωσική γλώσσα ενσωματωμένα στον πηγαίο κώδικα του κακόβουλου λογισμικού, τα οποία υποδεικνύουν την πιθανή γεωγραφική και γλωσσική προέλευση των απειλητικών φορέων.

Παραπλανητικό CAPTCHA: Το δόλωμα ClickFix

Η επίθεση ξεκινά με ένα ψεύτικο μήνυμα επαλήθευσης hCaptcha που ισχυρίζεται ότι ελέγχει την ασφάλεια της σύνδεσης του χρήστη. Αφού κάνουν κλικ στο πλαίσιο ελέγχου «Είμαι άνθρωπος», οι χρήστες λαμβάνουν ένα ψεύτικο μήνυμα σφάλματος: «Η επαλήθευση CAPTCHA απέτυχε». Στη συνέχεια, τους ζητείται να προχωρήσουν με μια «Εναλλακτική επαλήθευση».

Αυτή η ενέργεια αντιγράφει μια κακόβουλη εντολή στο πρόχειρο και εμφανίζει οδηγίες με βάση το λειτουργικό σύστημα του χρήστη. Στο macOS, τα θύματα καθοδηγούνται να επικολλήσουν και να εκτελέσουν την εντολή στην εφαρμογή Terminal, ξεκινώντας τη λήψη του AMOS.

Απρόσεκτη Εκτέλεση: Ενδείξεις στον Κώδικα

Παρά την επικίνδυνη πρόθεση της καμπάνιας, οι ερευνητές παρατήρησαν ασυνέπειες στην υποδομή της επίθεσης. Παρατηρήθηκαν κακά λογικά και προγραμματιστικά σφάλματα στις σελίδες παράδοσης, όπως:

  • Αντιγραφή εντολών PowerShell για χρήστες Linux.
  • Οδηγίες ειδικά για Windows που εμφανίζονται σε χρήστες Windows και Mac.
  • Αναντιστοιχίες στο front-end μεταξύ του εμφανιζόμενου λειτουργικού συστήματος και των οδηγιών.
  • Αυτά τα λάθη υποδηλώνουν μια βιαστικά κατασκευασμένη ή κακώς συντηρημένη υποδομή επίθεσης.

    • Η άνοδος του ClickFix: Ένας αυξανόμενος φορέας απειλής

    Αυτή η εξέλιξη αποτελεί μέρος μιας αυξανόμενης τάσης στη χρήση της τακτικής ClickFix σε πολλαπλές καμπάνιες κακόβουλου λογισμικού κατά το τελευταίο έτος. Οι απειλητικοί παράγοντες χρησιμοποιούν σταθερά παρόμοιες τεχνικές, εργαλεία και διαδικασίες (TTP) για αρχική πρόσβαση, συνήθως:

    • Ηλεκτρονικό ψάρεμα (spear phishing)
    • Λήψεις από το αυτοκίνητο
    • Κακόβουλοι σύνδεσμοι που κοινοποιούνται μέσω αξιόπιστων πλατφορμών όπως το GitHub

    Ψεύτικες Διορθώσεις, Πραγματική Ζημιά: Η Κοινωνική Μηχανική στα Χειρότερα της

    Τα θύματα εξαπατώνται ώστε να πιστέψουν ότι επιλύουν ένα ακίνδυνο τεχνικό πρόβλημα. Στην πραγματικότητα, εκτελούν επιβλαβείς εντολές που εγκαθιστούν κακόβουλο λογισμικό. Αυτή η μορφή κοινωνικής μηχανικής είναι ιδιαίτερα αποτελεσματική στην παράκαμψη της επίγνωσης των χρηστών και των τυπικών μηχανισμών ασφαλείας.

    Αυξανόμενος Αντίκτυπος: Παγκόσμια Εξάπλωση και Ποικίλα Φορτία

    Οι καμπάνιες ClickFix έχουν εντοπιστεί σε περιβάλλοντα πελατών στις Ηνωμένες Πολιτείες, την Ευρώπη, τη Μέση Ανατολή και την Αφρική (EMEA). Αυτές οι επιθέσεις διαφοροποιούνται ολοένα και περισσότερο, προσφέροντας όχι μόνο stealers όπως το AMOS, αλλά και trojans και ransomware. Ενώ τα ωφέλιμα φορτία ενδέχεται να διαφέρουν, η βασική μεθοδολογία παραμένει συνεπής: χειραγώγηση της συμπεριφοράς των χρηστών για την υπονόμευση της ασφάλειας.

    Συμπέρασμα: Απαιτείται επαγρύπνηση

    Αυτή η καμπάνια υπογραμμίζει τη σημασία της συνεχούς επαγρύπνησης, της εκπαίδευσης των χρηστών και των ισχυρών ελέγχων ασφαλείας. Καθώς οι τακτικές κοινωνικής μηχανικής όπως το ClickFix εξελίσσονται, οι οργανισμοί και τα άτομα πρέπει να παραμένουν ενημερωμένοι και προετοιμασμένοι να αναγνωρίζουν και να αποκλείουν τέτοιες παραπλανητικές απειλές.

    Τάσεις

    Περισσότερες εμφανίσεις

    Κακόβουλο λογισμικό

    Phishing, Ανεπιθύμητη αλληλογραφία
    34,942
    Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
    Φόρτωση...