Monen lisenssin alennustarjous
Uhatietokanta Mac-haittaohjelma Atomic macOS Steeler -haittaohjelma

Atomic macOS Steeler -haittaohjelma

Vuonna Mezo vuonna Mac-haittaohjelma
Käännä:

Kyberturvallisuustutkijat ovat paljastaneet uuden haittaohjelmakampanjan, joka hyödyntää ClickFix-nimistä harhaanjohtavaa sosiaalisen manipuloinnin taktiikkaa levittääkseen Atomic macOS Stealeria (AMOS). Kyseessä on Applen macOS-järjestelmiin vaarantava tietoja varastava haittaohjelma.

Typosquat-taktiikka: Spectrumin matkiminen

Tämän kampanjan hyökkääjät käyttävät typosquat-verkkotunnuksia, jotka matkivat yhdysvaltalaista teleoperaattoria Spectrumia, ja käyttävät huijaussivustoja, kuten panel-spectrum.net ja spectrum-ticket.net, houkutellakseen tietämättömiä käyttäjiä. Nämä samannäköiset verkkotunnukset on suunniteltu näyttämään laillisilta, mikä lisää käyttäjien luottamuksen ja vuorovaikutuksen todennäköisyyttä.

Haitallinen komentosarja: Piilotettu hyötykuorma

Kaikille näillä huijaussivustoilla vieraileville macOS-käyttäjille tarjoillaan haitallinen komentosarja. Tämä komentosarja kehottaa uhreja antamaan järjestelmän salasanansa ja varastaa tunnistetiedot, ohittaa macOS:n tietoturvakontrollit ja asentaa AMOS-haittaohjelman muunnelman hyväksikäyttöä varten. Natiiveja macOS-komentoja käytetään komentosarjan tehokkuuden maksimoimiseksi ja samalla sen piilottamisen estämiseksi.

Alkuperän jäljet: Venäjänkielisen koodin kommentit

Todisteet viittaavat siihen, että venäjänkieliset kyberrikolliset saattavat olla tämän kampanjan takana. Tutkijat löysivät haittaohjelman lähdekoodista venäjänkielisiä kommentteja, jotka viittaavat uhkatoimijoiden todennäköiseen maantieteelliseen ja kielelliseen alkuperään.

Petollinen CAPTCHA: ClickFix-houkutin

Hyökkäys alkaa väärennetyllä hCaptcha-vahvistusviestillä, joka väittää tarkistavansa käyttäjän yhteyden turvallisuutta. Kun käyttäjät ovat napsauttaneet "Olen ihminen" -valintaruutua, he saavat väärennetyn virheilmoituksen: "CAPTCHA-vahvistus epäonnistui." Heitä pyydetään sitten jatkamaan "vaihtoehtoisella vahvistuksella".

Tämä toiminto kopioi haitallisen komennon leikepöydälle ja näyttää käyttäjän käyttöjärjestelmään perustuvat ohjeet. macOS:ssä uhreja ohjataan liittämään ja suorittamaan komento Pääte-sovelluksessa, mikä käynnistää AMOS:n latauksen.

Huolimaton toteutus: Vihjeitä koodissa

Kampanjan vaarallisesta tarkoituksesta huolimatta tutkijat havaitsivat hyökkäysinfrastruktuurissa epäjohdonmukaisuuksia. Toimitussivuilla havaittiin huonoa logiikkaa ja ohjelmointivirheitä, kuten:

  • PowerShell-komentoja kopioidaan Linux-käyttäjille.
  • Windows-kohtaiset ohjeet näkyvät sekä Windows- että Mac-käyttäjille.
  • Käyttöjärjestelmän ja ohjeiden väliset eroavaisuudet käyttöliittymässä.
  • Nämä virheet viittaavat hätäisesti rakennettuun tai huonosti ylläpidettyyn hyökkäysinfrastruktuuriin.

ClickFixin nousu: laajeneva uhkavektori

Tämä kehitys on osa kasvavaa trendiä, jossa ClickFix-taktiikkaa on käytetty useissa haittaohjelmakampanjoissa viimeisen vuoden aikana. Uhkatoimijat käyttävät johdonmukaisesti samanlaisia tekniikoita, työkaluja ja menettelytapoja (TTP) ensimmäiseen pääsyyn, yleisimmin:

  • Keihästietojen kalastelu
  • Autossa tapahtuvat lataukset
  • Haitallisia linkkejä jaettu luotettavien alustojen, kuten GitHubin, kautta

Valekorjaukset, todellista vahinkoa: Sosiaalinen manipulointi pahimmillaan

Uhrit huijataan uskomaan, että he ratkaisevat vaarattoman teknisen ongelman. Todellisuudessa he suorittavat haitallisia komentoja, jotka asentavat haittaohjelmia. Tämäntyyppinen sosiaalinen manipulointi on erittäin tehokas ohittamaan käyttäjien tietoisuuden ja tavalliset turvamekanismit.

Kasvava vaikutus: maailmanlaajuinen leviäminen ja monipuoliset hyötykuormat

ClickFix-kampanjoita on havaittu asiakasympäristöissä Yhdysvalloissa, Euroopassa, Lähi-idässä ja Afrikassa (EMEA). Nämä hyökkäykset ovat yhä monimuotoisempia ja tarjoavat paitsi varkaiden, kuten AMOSin, myös troijalaisia ja kiristysohjelmia. Vaikka hyötykuormat voivat vaihdella, ydinmenetelmä pysyy samana: käyttäjien käyttäytymisen manipulointi turvallisuuden vaarantamiseksi.

Johtopäätös: Valppautta vaaditaan

Tämä kampanja korostaa jatkuvan valppauden, käyttäjien koulutuksen ja vankkojen tietoturvakontrollien tärkeyttä. Sosiaalisen manipuloinnin taktiikoiden, kuten ClickFixin, kehittyessä sekä organisaatioiden että yksilöiden on pysyttävä ajan tasalla ja valmiina tunnistamaan ja estämään tällaiset harhaanjohtavat uhat.

Trendaavat

Eniten katsottu

Ladataan...