Atomic macOS varastav pahavara

Küberturvalisuse uurijad on paljastanud uue pahavarakampaania, mis kasutab petlikku sotsiaalse manipuleerimise taktikat, mida tuntakse ClickFixina, et levitada Atomic macOS Stealerit (AMOS), mis on Apple'i macOS-süsteemide kahjustamiseks loodud teavet varastav pahavara.

Typosquat taktika: Spektri jäljendamine

Selle kampaania ründajad kasutavad USA-s asuva telekommunikatsioonifirma Spectrum domeeni imiteerivaid typosquat-domeene, kasutades petturlikke veebisaite nagu panel-spectrum.net ja spectrum-ticket.net, et meelitada ligi pahaaimamatuid kasutajaid. Need sarnased domeenid on loodud näima seaduslikud, suurendades kasutajate usalduse ja suhtluse tõenäosust.

Pahatahtlik kesta skript: varjatud kasulik koormus

Kõikidele macOS-i kasutajatele, kes neid võltsitud saite külastavad, saadetakse pahatahtlik skript. See skript palub ohvritel sisestada oma süsteemiparooli ning seejärel varastatakse sisselogimisandmed, möödutakse macOS-i turvakontrollidest ja installitakse AMOS-i pahavara variant edasiseks ärakasutamiseks. Skripti tõhususe maksimeerimiseks ja samal ajal madala profiili säilitamiseks kasutatakse macOS-i natiivseid käske.

Päritolu jäljed: vene keele koodi kommentaarid

Tõendid viitavad sellele, et selle kampaania taga võivad olla venekeelsed küberkurjategijad. Teadlased leidsid pahavara lähtekoodist venekeelseid kommentaare, mis viitavad ohu tegijate tõenäolisele geograafilisele ja keelelisele päritolule.

Petlik CAPTCHA: ClickFixi peibutis

Rünnak algab võltsitud hCaptcha kinnitussõnumiga, mis väidab, et kontrollib kasutaja ühenduse turvalisust. Pärast märkeruudu „Ma olen inimene“ klõpsamist kuvatakse kasutajatele võltsitud veateade: „CAPTCHA kinnitus ebaõnnestus“. Seejärel palutakse neil jätkata alternatiivse kinnitusega.

See toiming kopeerib pahatahtliku käsu lõikelauale ja kuvab kasutaja operatsioonisüsteemil põhinevad juhised. macOS-is juhendatakse ohvreid käsu kleepima ja käivitama rakenduses Terminal, alustades AMOS-i allalaadimist.

Lohakas teostus: vihjed koodis

Vaatamata kampaania ohtlikule kavatsusele märkasid teadlased rünnaku infrastruktuuris vastuolusid. Kohaletoimetamise lehtedel täheldati kehva loogikat ja programmeerimisvigu, näiteks:

• PowerShelli käske kopeeritakse Linuxi kasutajatele.
• Windowsi-põhised juhised kuvatakse nii Windowsi kui ka Maci kasutajatele.
• Kuvatava operatsioonisüsteemi ja juhiste vahelised esiotsa mittevastavused.

• Need vead viitavad kiirustades ehitatud või halvasti hooldatud rünnakuinfrastruktuurile.

ClickFixi tõus: laienev ohuvektor

See areng on osa kasvavast trendist, kus ClickFixi taktikat on viimase aasta jooksul kasutatud mitmetes pahavarakampaaniates. Ohutegurite tekitajad kasutavad esmaseks juurdepääsuks järjepidevalt sarnaseid tehnikaid, tööriistu ja protseduure (TTP-sid), kõige sagedamini:

• Odapüük
• Drive-by allalaadimised
• Pahatahtlikud lingid, mida jagatakse usaldusväärsete platvormide, näiteks GitHubi kaudu

Võltsparandused, tegelik kahju: sotsiaalne manipuleerimine oma halvimal kujul

Ohvreid petetakse uskuma, et nad lahendavad healoomulist tehnilist probleemi. Tegelikkuses täidavad nad kahjulikke käske, mis installivad pahavara. Selline sotsiaalse manipuleerimise vorm on väga tõhus kasutajate teadlikkuse ja tavapäraste turvamehhanismide möödahiilimiseks.

Kasvav mõju: globaalne levik ja mitmekesine kasulik koormus

ClickFixi kampaaniaid on tuvastatud kliendikeskkondades Ameerika Ühendriikides, Euroopas, Lähis-Idas ja Aafrikas (EMEA). Need rünnakud on üha mitmekesisemad, pakkudes lisaks varastajatele nagu AMOS ka troojalasi ja lunavara. Kuigi kasulik koormus võib erineda, jääb põhimetoodika samaks: kasutajate käitumise manipuleerimine turvalisuse ohustamiseks.

Järeldus: valvsus on vajalik

See kampaania rõhutab pideva valvsuse, kasutajate koolitamise ja tugevate turvameetmete olulisust. Kuna sotsiaalse manipuleerimise taktikad, näiteks ClickFix, arenevad, peavad nii organisatsioonid kui ka üksikisikud olema kursis ja valmis selliseid petlikke ohte ära tundma ja blokeerima.