Zlonamjerni softver Atomic macOS Stealer
Istraživači kibernetičke sigurnosti otkrili su novu kampanju zlonamjernog softvera koja koristi varljivu taktiku društvenog inženjeringa poznatu kao ClickFix za distribuciju Atomic macOS Stealer (AMOS), zlonamjernog softvera za krađu informacija dizajniranog za kompromitiranje Apple macOS sustava.
Sadržaj
Taktike Typosquata: Oponašanje Spectrum-a
Napadači koji stoje iza ove kampanje koriste tipografske domene koje oponašaju američkog telekomunikacijskog operatera Spectrum, koristeći lažne web stranice poput panel-spectrum.net i spectrum-ticket.net kako bi namamili nesuđene korisnike. Ove domene koje izgledaju slično izrađene su tako da izgledaju legitimno, povećavajući vjerojatnost povjerenja i interakcije korisnika.
Zlonamjerni Shell Script: Skriveni korisni teret
Svim korisnicima macOS-a koji posjete ove lažne stranice poslužuje se zlonamjerni shell skript. Ovaj skript potiče žrtve da unesu lozinku sustava i nastavlja krasti vjerodajnice, zaobilaziti sigurnosne kontrole macOS-a i instalirati varijantu zlonamjernog softvera AMOS za daljnju eksploataciju. Izvorne macOS naredbe koriste se za maksimiziranje učinkovitosti skripte uz održavanje niskog profila.
Tragovi podrijetla: Komentari o ruskom kodu
Dokazi upućuju na to da bi iza ove kampanje mogli stajati kibernetički kriminalci koji govore ruski. Istraživači su u izvornom kodu zlonamjernog softvera pronašli komentare na ruskom jeziku, što ukazuje na vjerojatno geografsko i jezično podrijetlo prijetnji.
Varljiva CAPTCHA: Mamac za ClickFix
Napad započinje lažnom hCaptcha porukom za provjeru koja tvrdi da provjerava sigurnost korisnikove veze. Nakon što kliknu na potvrdni okvir 'Ja sam čovjek', korisnici dobivaju lažnu poruku o pogrešci: 'CAPTCHA provjera nije uspjela'. Zatim se od njih traži da nastave s "Alternativnom provjerom".
Ova radnja kopira zlonamjernu naredbu u međuspremnik i prikazuje upute na temelju operativnog sustava korisnika. Na macOS-u, žrtve se upućuju da zalijepe i pokrenu naredbu u aplikaciji Terminal, čime se pokreće preuzimanje AMOS-a.
Nemarno izvršenje: Tragovi u kodu
Unatoč opasnoj namjeri kampanje, istraživači su primijetili nedosljednosti u infrastrukturi napada. Na stranicama za isporuku uočene su loše logičke i programske pogreške, kao što su:
- PowerShell naredbe se kopiraju za Linux korisnike.
- Upute specifične za Windows prikazane su korisnicima Windowsa i Maca.
- Neusklađenosti između prikazanog OS-a i instrukcija na prednjem dijelu.
- Ove pogreške ukazuju na brzopleto izgrađenu ili loše održavanu infrastrukturu napada.
Uspon ClickFixa: Rastući vektor prijetnje
Ovaj razvoj događaja dio je rastućeg trenda korištenja taktike ClickFix u više kampanja zlonamjernog softvera tijekom protekle godine. Akteri prijetnji dosljedno koriste slične tehnike, alate i postupke (TTP) za početni pristup, najčešće:
- Spear phishing
- Preuzimanje iz automobila
- Zlonamjerne poveznice dijeljene putem pouzdanih platformi poput GitHuba
Lažne popravke, stvarna šteta: Društveni inženjering u najgorem izdanju
Žrtve se prevarom navode da vjeruju da rješavaju benigni tehnički problem. U stvarnosti izvršavaju štetne naredbe koje instaliraju zlonamjerni softver. Ovaj oblik društvenog inženjeringa vrlo je učinkovit u zaobilaženju korisničke svijesti i standardnih sigurnosnih mehanizama.
Rastući utjecaj: Globalno širenje i raznoliki korisni tereti
ClickFix kampanje otkrivene su u korisničkim okruženjima u Sjedinjenim Državama, Europi, Bliskom istoku i Africi (EMEA). Ovi napadi su sve raznolikiji, isporučujući ne samo kradljivce poput AMOS-a, već i trojance i ransomware. Iako se korisni sadržaji mogu razlikovati, ključna metodologija ostaje dosljedna: manipuliranje ponašanjem korisnika kako bi se ugrozila sigurnost.
Zaključak: Potrebna je budnost
Ova kampanja naglašava važnost kontinuiranog nadzora, edukacije korisnika i robusnih sigurnosnih kontrola. Kako se taktike društvenog inženjeringa poput ClickFixa razvijaju, organizacije i pojedinci moraju ostati informirani i spremni prepoznati i blokirati takve prijevarne prijetnje.
