תוכנה זדונית Atomic macOS Stealer

חוקרי אבטחת סייבר חשפו קמפיין זדוני חדש הממנפ את טקטיקת ההנדסה החברתית המטעה המכונה ClickFix כדי להפיץ את Atomic macOS Stealer (AMOS), תוכנה זדונית לגניבת מידע שנועדה לפגוע במערכות macOS של אפל.

טקטיקות טיפוסקווט: התחזות לספקטרום

התוקפים שעומדים מאחורי קמפיין זה משתמשים בדומיינים מסוג typosquat המחקים את ספקית התקשורת האמריקאית Spectrum, תוך שימוש באתרי הונאה כמו panel-spectrum.net ו-spectrum-ticket.net כדי לפתות משתמשים תמימים. דומיינים דומים אלה מעוצבים כך שייראו לגיטימיים, מה שמגדיל את הסבירות לאמון ולאינטראקציה של המשתמשים.

סקריפט מעטפת זדוני: המטען הנסתר

כל משתמשי macOS המבקרים באתרים מזויפים אלה מקבלים סקריפט מעטפת זדוני. סקריפט זה מבקש מהקורבנות להזין את סיסמת המערכת שלהם וממשיך לגנוב אישורים, לעקוף את בקרות האבטחה של macOS ולהתקין גרסה של תוכנת AMOS לניצול נוסף. פקודות macOS מקוריות משמשות כדי למקסם את יעילות הסקריפט תוך שמירה על פרופיל נמוך.

עקבות מקור: הערות על קוד בשפה הרוסית

ראיות מצביעות על כך שפושעי סייבר דוברי רוסית עשויים לעמוד מאחורי הקמפיין הזה. חוקרים מצאו הערות בשפה הרוסית משובצות בקוד המקור של הנוזקה, דבר המצביע על המקור הגיאוגרפי והלשוני הסביר של גורמי האיום.

CAPTCHA מטעה: פיתוי ClickFix

ההתקפה מתחילה בהודעת אימות hCaptcha מזויפת הטוענת שהיא בודקת את אבטחת החיבור של המשתמש. לאחר לחיצה על תיבת הסימון 'אני אנושי', המשתמשים מקבלים הודעת שגיאה מזויפת: 'אימות CAPTCHA נכשל'. לאחר מכן הם מתבקשים להמשיך עם "אימות חלופי".

פעולה זו מעתיקה פקודה זדונית ללוח ומציגה הוראות המבוססות על מערכת ההפעלה של המשתמש. ב-macOS, הקורבנות מונחים להדביק ולהפעיל את הפקודה באפליקציית הטרמינל, מה שמתחיל את הורדת AMOS.

ביצוע רשלני: רמזים בקוד

למרות כוונתה המסוכנת של הקמפיין, חוקרים ציינו חוסר עקביות בתשתית ההתקפה. לוגיקה לקויה ושגיאות תכנות נצפו בדפי המסירה, כגון:

• פקודות PowerShell מועתקות עבור משתמשי לינוקס.
• הוראות ספציפיות ל-Windows מוצגות הן למשתמשי Windows והן למשתמשי Mac.
• אי התאמה בקצה הקדמי בין מערכת ההפעלה המוצגת להוראות.

עלייתה של ClickFix: וקטור איום הולך וגדל

התפתחות זו היא חלק ממגמה הולכת וגוברת בשימוש בטקטיקת ClickFix במספר קמפיינים של תוכנות זדוניות במהלך השנה האחרונה. גורמי איום משתמשים באופן עקבי בטכניקות, כלים ונהלים (TTP) דומים לצורך גישה ראשונית, לרוב:

• פישינג ספיר
• הורדות ברכב
• קישורים זדוניים המשותפים דרך פלטפורמות מהימנות כמו GitHub

תיקונים מזויפים, נזק אמיתי: הנדסה חברתית בשיא כוחה

קורבנות מוטעים להאמין שהם פותרים בעיה טכנית שפירה. במציאות, הם מבצעים פקודות מזיקות שמתקינות תוכנות זדוניות. צורה זו של הנדסה חברתית יעילה מאוד בעקיפת מודעות המשתמש ומנגנוני אבטחה סטנדרטיים.

השפעה גוברת: התפשטות עולמית ומטענים מגוונים

קמפיינים של ClickFix זוהו בסביבות לקוחות בארצות הברית, אירופה, המזרח התיכון ואפריקה (EMEA). התקפות אלו מגוונות יותר ויותר, ומספקות לא רק גנבים כמו AMOS אלא גם סוסים טרויאניים ותוכנות כופר. בעוד שמטענים עשויים להשתנות, המתודולוגיה המרכזית נותרה עקבית: מניפולציה של התנהגות משתמשים כדי לפגוע באבטחה.

מסקנה: נדרשת ערנות

קמפיין זה מדגיש את החשיבות של ערנות מתמשכת, חינוך משתמשים ובקרות אבטחה חזקות. ככל שמתפתחות טקטיקות של הנדסה חברתית כמו ClickFix, ארגונים ואנשים פרטיים כאחד חייבים להישאר מעודכנים ומוכנים לזהות ולחסום איומים מטעים כאלה.