Atominė macOS vagių kenkėjiška programa
Kibernetinio saugumo tyrėjai atskleidė naują kenkėjiškų programų kampaniją, kuri naudoja apgaulingą socialinės inžinerijos taktiką, žinomą kaip „ClickFix“, kad platintų „Atomic macOS Stealer“ (AMOS) – informaciją vagiančią kenkėjišką programą, skirtą pakenkti „Apple macOS“ sistemoms.
Turinys
„Typosquat“ taktika: apsimetinėjimas spektru
Šios kampanijos vykdytojai naudoja typosquat domenus, imituojančius JAV telekomunikacijų paslaugų teikėjo „Spectrum“ domeną, ir apgaulingas svetaines, tokias kaip panel-spectrum.net ir spectrum-ticket.net, kad priviliotų nieko neįtariančius vartotojus. Šie panašūs domenai sukurti taip, kad atrodytų teisėti, taip padidinant vartotojų pasitikėjimo ir sąveikos tikimybę.
Kenkėjiškas apvalkalo scenarijus: paslėpta apkrova
Visiems „macOS“ naudotojams, apsilankiusiems šiose netikrose svetainėse, pateikiamas kenkėjiškas scenarijus. Šis scenarijus paragina aukas įvesti sistemos slaptažodį ir pavogti prisijungimo duomenis, apeiti „macOS“ saugos valdiklius bei įdiegti AMOS kenkėjiškos programos variantą tolesniam išnaudojimui. Siekiant maksimaliai padidinti scenarijaus efektyvumą ir išlaikant nepastebimą, naudojamos vietinės „macOS“ komandos.
Kilmės pėdsakai: rusų kalbos kodo komentarai
Įrodymai rodo, kad už šios kampanijos gali būti rusakalbiai kibernetiniai nusikaltėliai. Tyrėjai kenkėjiškos programos šaltinio kode rado įterptų komentarų rusų kalba, kurie rodo tikėtiną grėsmės vykdytojų geografinę ir kalbinę kilmę.
Apgaulingas CAPTCHA: „ClickFix“ masalas
Ataka prasideda nuo netikro „hCaptcha“ patvirtinimo pranešimo, kuris tariamai tikrina vartotojo ryšio saugumą. Paspaudus žymimąjį langelį „Aš esu žmogus“, vartotojams rodomas netikras klaidos pranešimas: „CAPTCHA patvirtinimas nepavyko“. Tada jų prašoma tęsti su „Alternatyviu patvirtinimu“.
Šis veiksmas nukopijuoja kenkėjišką komandą į iškarpinę ir rodo instrukcijas, pagrįstas vartotojo operacine sistema. „macOS“ sistemoje aukoms nurodoma įklijuoti ir paleisti komandą „Terminal“ programoje, taip inicijuojant AMOS atsisiuntimą.
Aplaidus vykdymas: užuominos kode
Nepaisant pavojingo kampanijos tikslo, tyrėjai pastebėjo atakos infrastruktūros neatitikimų. Pristatymo puslapiuose buvo pastebėta prasta logika ir programavimo klaidos, tokios kaip:
- „PowerShell“ komandos kopijuojamos „Linux“ vartotojams.
- „Windows“ sistemoms skirtos instrukcijos, rodomos tiek „Windows“, tiek „Mac“ naudotojams.
- Rodomos OS ir instrukcijų neatitikimai priekinėje dalyje.
- Šios klaidos rodo skubotai sukurtą arba prastai prižiūrimą atakų infrastruktūrą.
„ClickFix“ iškilimas: besiplečiantis grėsmių vektorius
Šis pokytis yra dalis augančios tendencijos, kai per pastaruosius metus „ClickFix“ taktika buvo naudojama įvairiose kenkėjiškų programų kampanijose. Grėsmių kūrėjai pradinei prieigai nuolat naudoja panašius metodus, įrankius ir procedūras (TTP), dažniausiai:
- Ieties sukčiavimas
- Atsisiuntimai iš automobilio
- Kenkėjiškos nuorodos, bendrinamos per patikimas platformas, tokias kaip „GitHub“
Netikri pataisymai, tikra žala: blogiausia socialinė inžinerija
Aukos apgaule įtikinamos, kad sprendžia nereikšmingą techninę problemą. Iš tikrųjų jos vykdo kenksmingas komandas, kurios įdiegia kenkėjiškas programas. Ši socialinės inžinerijos forma yra labai veiksminga apeinant vartotojų informuotumą ir standartinius saugumo mechanizmus.
Augantis poveikis: pasaulinis paplitimas ir įvairios naudingosios apkrovos
„ClickFix“ kampanijos buvo aptiktos klientų aplinkose Jungtinėse Amerikos Valstijose, Europoje, Artimuosiuose Rytuose ir Afrikoje (EMEA). Šios atakos tampa vis įvairesnės, jose siunčiamos ne tik tokios vagystės kaip AMOS, bet ir Trojos arkliai bei išpirkos reikalaujančios programinės įrangos. Nors naudingoji apkrova gali skirtis, pagrindinė metodologija išlieka pastovi: manipuliuoti naudotojų elgesiu siekiant pakenkti saugumui.
Išvada: reikalingas budrumas
Ši kampanija pabrėžia nuolatinio budrumo, naudotojų švietimo ir patikimų saugumo kontrolės priemonių svarbą. Tobulėjant socialinės inžinerijos taktikoms, tokioms kaip „ClickFix“, organizacijos ir asmenys turi būti informuoti ir pasiruošę atpažinti bei blokuoti tokias apgaulingas grėsmes.
