Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Mac-malware Atomic macOS Stealer-malware

Atomic macOS Stealer-malware

Tegen Mezo in Mac-malware
Vertalen naar:

Cybersecurityonderzoekers hebben een nieuwe malwarecampagne ontdekt die gebruikmaakt van de misleidende social engineering-tactiek ClickFix om Atomic macOS Stealer (AMOS) te verspreiden, een malware die informatie steelt en is ontworpen om Apple macOS-systemen te infecteren.

Typosquat-tactieken: Spectrum imiteren

De aanvallers achter deze campagne gebruiken typosquatdomeinen die lijken op de Amerikaanse telecomprovider Spectrum. Ze gebruiken frauduleuze websites zoals panel-spectrum.net en spectrum-ticket.net om nietsvermoedende gebruikers te lokken. Deze domeinen lijken op elkaar en lijken legitiem, waardoor de kans op vertrouwen en interactie tussen gebruikers toeneemt.

Kwaadaardig shell-script: de verborgen payload

MacOS-gebruikers die deze vervalste sites bezoeken, krijgen een schadelijk shellscript te zien. Dit script vraagt slachtoffers om hun systeemwachtwoord in te voeren en steelt vervolgens inloggegevens, omzeilt de beveiligingsmaatregelen van macOS en installeert een variant van de AMOS-malware voor verdere exploitatie. Native macOS-commando's worden gebruikt om de effectiviteit van het script te maximaliseren en tegelijkertijd onopvallend te blijven.

Sporen van oorsprong: Russischtalige codeopmerkingen

Er zijn aanwijzingen dat Russischtalige cybercriminelen mogelijk achter deze campagne zitten. Onderzoekers vonden Russischtalige opmerkingen in de broncode van de malware, wat wijst op de waarschijnlijke geografische en taalkundige oorsprong van de dreigingsactoren.

Misleidende CAPTCHA: De ClickFix Lure

De aanval begint met een vals hCaptcha-verificatiebericht dat beweert de verbindingsbeveiliging van de gebruiker te controleren. Nadat gebruikers op het vakje 'Ik ben een mens' hebben geklikt, krijgen ze een valse foutmelding: 'CAPTCHA-verificatie mislukt'. Vervolgens worden ze gevraagd om door te gaan met een 'Alternatieve verificatie'.

Met deze actie kopieert u een kwaadaardige opdracht naar het klembord en geeft u instructies weer op basis van het besturingssysteem van de gebruiker. Op macOS worden slachtoffers begeleid bij het plakken en uitvoeren van de opdracht in de Terminal-app, waarmee de download van AMOS wordt gestart.

Slordige uitvoering: aanwijzingen in de code

Ondanks de gevaarlijke intenties van de campagne, merkten onderzoekers inconsistenties op in de aanvalsinfrastructuur. Slechte logica en programmeerfouten werden aangetroffen in de afleveringspagina's, zoals:

  • PowerShell-opdrachten worden gekopieerd voor Linux-gebruikers.
  • Windows-specifieke instructies voor zowel Windows- als Mac-gebruikers.
  • Front-end-mismatches tussen het weergegeven besturingssysteem en de instructies.
  • Deze fouten wijzen erop dat de aanvalsinfrastructuur overhaast is opgebouwd of slecht is onderhouden.

    • De opkomst van ClickFix: een groeiende bedreigingsvector

    Deze ontwikkeling maakt deel uit van een groeiende trend in het gebruik van de ClickFix-tactiek in meerdere malwarecampagnes van het afgelopen jaar. Criminelen gebruiken consequent vergelijkbare technieken, tools en procedures (TTP's) voor initiële toegang, meestal:

    • Spearphishing
    • Drive-by downloads
    • Kwaadaardige links gedeeld via vertrouwde platforms zoals GitHub

    Nepreparaties, echte schade: social engineering op zijn ergst

    Slachtoffers worden misleid en geloven dat ze een onschuldig technisch probleem oplossen. In werkelijkheid voeren ze schadelijke opdrachten uit die malware installeren. Deze vorm van social engineering is zeer effectief in het omzeilen van het bewustzijn van de gebruiker en standaard beveiligingsmechanismen.

    Groeiende impact: wereldwijde verspreiding en diverse ladingen

    ClickFix-campagnes zijn gedetecteerd in klantomgevingen in de Verenigde Staten, Europa, het Midden-Oosten en Afrika (EMEA). Deze aanvallen worden steeds diverser en leveren niet alleen stealers zoals AMOS, maar ook trojans en ransomware. Hoewel de payloads kunnen variëren, blijft de kernmethode consistent: het manipuleren van gebruikersgedrag om de beveiliging in gevaar te brengen.

    Conclusie: waakzaamheid vereist

    Deze campagne onderstreept het belang van voortdurende waakzaamheid, gebruikersvoorlichting en robuuste beveiligingsmaatregelen. Naarmate social engineering-tactieken zoals ClickFix zich verder ontwikkelen, moeten zowel organisaties als individuen op de hoogte blijven en voorbereid zijn om dergelijke misleidende bedreigingen te herkennen en te blokkeren.

    Trending

    Meest bekeken

    Bezig met laden...