Atomic macOS Stealer-skadevare
Forskere innen nettsikkerhet har avdekket en ny skadevarekampanje som utnytter den villedende sosial manipuleringstaktikken kjent som ClickFix for å distribuere Atomic macOS Stealer (AMOS), en informasjonsstjelende skadevare designet for å kompromittere Apple macOS-systemer.
Innholdsfortegnelse
Typosquat-taktikker: Etterligning av Spectrum
Angriperne bak denne kampanjen bruker typosquat-domener som etterligner den USA-baserte telekomleverandøren Spectrum, og bruker falske nettsteder som panel-spectrum.net og spectrum-ticket.net for å lokke intetanende brukere. Disse like domenene er laget for å virke legitime, noe som øker sannsynligheten for brukertillit og interaksjon.
Ondsinnet skallskript: Den skjulte nyttelasten
Alle macOS-brukere som besøker disse forfalskede nettstedene får servert et ondsinnet skallskript. Dette skriptet ber ofrene om å oppgi systempassordet sitt og stjeler deretter påloggingsinformasjon, omgår macOS-sikkerhetskontroller og installerer en variant av AMOS-skadevaren for videre utnyttelse. Innfødte macOS-kommandoer brukes for å maksimere skriptets effektivitet, samtidig som de opprettholder en lav profil.
Opprinnelsesspor: Kommentarer til russiskspråklig kode
Bevis tyder på at russisktalende nettkriminelle kan stå bak denne kampanjen. Forskerne fant kommentarer på russisk innebygd i kildekoden til skadevaren, noe som peker mot trusselaktørenes sannsynlige geografiske og språklige opprinnelse.
Villedende CAPTCHA: ClickFix-lokkemiddelet
Angrepet starter med en falsk hCaptcha-verifiseringsmelding som hevder å sjekke brukerens tilkoblingssikkerhet. Etter å ha klikket på avmerkingsboksen «Jeg er et menneske», møtes brukerne med en falsk feilmelding: «CAPTCHA-verifisering mislyktes». De blir deretter bedt om å fortsette med en «alternativ verifisering».
Denne handlingen kopierer en ondsinnet kommando til utklippstavlen og viser instruksjoner basert på brukerens operativsystem. På macOS blir ofrene veiledet til å lime inn og kjøre kommandoen i Terminal-appen, noe som starter nedlastingen av AMOS.
Slurvete utførelse: Ledetråder i koden
Til tross for kampanjens farlige hensikt, bemerket forskere inkonsekvenser i angrepsinfrastrukturen. Dårlig logikk og programmeringsfeil ble observert på leveringssidene, som for eksempel:
- PowerShell-kommandoer kopieres for Linux-brukere.
- Windows-spesifikke instruksjoner vist til både Windows- og Mac-brukere.
- Avvik i frontend mellom vist operativsystem og instruksjoner.
- Disse feilene indikerer en hastig bygget eller dårlig vedlikeholdt angrepsinfrastruktur.
Fremveksten av ClickFix: En voksende trusselvektor
Denne utviklingen er en del av en økende trend i bruken av ClickFix-taktikken på tvers av flere skadevarekampanjer det siste året. Trusselaktører bruker konsekvent lignende teknikker, verktøy og prosedyrer (TTP-er) for første tilgang, vanligvis:
- Spear phishing
- Drive-by-nedlastinger
- Ondsinnede lenker delt via pålitelige plattformer som GitHub
Falske løsninger, reell skade: Sosial manipulering på sitt verste
Ofrene blir lurt til å tro at de løser et godartet teknisk problem. I virkeligheten utfører de skadelige kommandoer som installerer skadelig programvare. Denne formen for sosial manipulering er svært effektiv for å omgå brukerbevissthet og standard sikkerhetsmekanismer.
Økende innvirkning: Global spredning og mangfoldige nyttelaster
ClickFix-kampanjer har blitt oppdaget på tvers av kundemiljøer i USA, Europa, Midtøsten og Afrika (EMEA). Disse angrepene blir stadig mer varierte, og leverer ikke bare tyveriprogrammer som AMOS, men også trojanere og løsepengevirus. Selv om nyttelastene kan variere, forblir kjernemetoden konsistent: manipulering av brukeratferd for å kompromittere sikkerheten.
Konklusjon: Årvåkenhet kreves
Denne kampanjen understreker viktigheten av kontinuerlig årvåkenhet, brukeropplæring og robuste sikkerhetskontroller. Etter hvert som sosial manipulering som ClickFix utvikler seg, må både organisasjoner og enkeltpersoner holde seg informert og forberedt på å gjenkjenne og blokkere slike villedende trusler.
