Oferta rabatowa na wiele licencji
Baza danych zagrożeń Malware na Maca Atomic macOS Stealer Malware

Atomic macOS Stealer Malware

Do Mezo w Malware na Maca
Przetłumacz na:

Badacze zajmujący się cyberbezpieczeństwem odkryli nową kampanię złośliwego oprogramowania, która wykorzystuje zwodniczą taktykę inżynierii społecznej znaną jako ClickFix w celu dystrybucji Atomic macOS Stealer (AMOS), złośliwego oprogramowania służącego do kradzieży informacji, którego celem jest naruszenie bezpieczeństwa systemów Apple macOS.

Taktyka Typosquata: podszywanie się pod Spectrum

Atakujący stojący za tą kampanią wykorzystują domeny typosquat imitujące amerykańskiego dostawcę usług telekomunikacyjnych Spectrum, używając fałszywych witryn, takich jak panel-spectrum.net i spectrum-ticket.net, aby zwabić niczego niepodejrzewających użytkowników. Te podobne domeny są tworzone tak, aby wyglądały na legalne, zwiększając prawdopodobieństwo zaufania użytkowników i interakcji.

Złośliwy skrypt powłoki: ukryty ładunek

Każdy użytkownik systemu macOS, który odwiedza te sfałszowane witryny, otrzymuje złośliwy skrypt powłoki. Ten skrypt nakłania ofiary do podania hasła systemowego, a następnie kradnie dane uwierzytelniające, omija kontrole bezpieczeństwa systemu macOS i instaluje wariant złośliwego oprogramowania AMOS w celu dalszej eksploatacji. Natywne polecenia systemu macOS są używane w celu maksymalizacji skuteczności skryptu przy jednoczesnym zachowaniu niskiego profilu.

Ślady pochodzenia: Komentarze do kodu rosyjskojęzycznego

Dowody sugerują, że za tą kampanią mogą stać rosyjskojęzyczni cyberprzestępcy. Badacze znaleźli rosyjskojęzyczne komentarze osadzone w kodzie źródłowym malware, wskazujące na prawdopodobne geograficzne i językowe pochodzenie aktorów zagrożenia.

Oszukańcza CAPTCHA: przynęta ClickFix

Atak rozpoczyna się od fałszywej wiadomości weryfikacyjnej hCaptcha, która rzekomo sprawdza bezpieczeństwo połączenia użytkownika. Po kliknięciu pola wyboru „Jestem człowiekiem” użytkownicy widzą fałszywy komunikat o błędzie: „Weryfikacja CAPTCHA nie powiodła się”. Następnie są proszeni o przejście do „Alternatywnej weryfikacji”.

Ta akcja kopiuje złośliwe polecenie do schowka i wyświetla instrukcje na podstawie systemu operacyjnego użytkownika. W systemie macOS ofiary są kierowane do wklejenia i uruchomienia polecenia w aplikacji Terminal, inicjując pobieranie AMOS.

Niedbałe wykonanie: wskazówki w kodzie

Pomimo niebezpiecznych intencji kampanii, badacze zauważyli niespójności w infrastrukturze ataku. Na stronach dostarczających zauważono słabe błędy logiczne i programistyczne, takie jak:

  • Polecenia programu PowerShell są kopiowane dla użytkowników systemu Linux.
  • Instrukcje dotyczące systemu Windows wyświetlane użytkownikom systemów Windows i Mac.
  • Niezgodności między wyświetlanym systemem operacyjnym i instrukcjami.
  • Błędy te wskazują na pospiesznie stworzoną lub źle utrzymywaną infrastrukturę ataku.

    • Rozwój ClickFix: rozszerzający się wektor zagrożeń

    Rozwój ten jest częścią rosnącego trendu w stosowaniu taktyki ClickFix w wielu kampaniach malware w ciągu ostatniego roku. Aktorzy zagrożeń konsekwentnie stosują podobne techniki, narzędzia i procedury (TTP) do początkowego dostępu, najczęściej:

    • Ataki typu spear phishing
    • Pobieranie plików „drive-by”
    • Złośliwe linki udostępniane za pośrednictwem zaufanych platform, takich jak GitHub

    Fałszywe poprawki, prawdziwe szkody: inżynieria społeczna w najgorszym wydaniu

    Ofiary są oszukiwane, by wierzyć, że rozwiązują łagodny problem techniczny. W rzeczywistości wykonują szkodliwe polecenia, które instalują złośliwe oprogramowanie. Ta forma inżynierii społecznej jest wysoce skuteczna w omijaniu świadomości użytkownika i standardowych mechanizmów bezpieczeństwa.

    Rosnący wpływ: globalne rozprzestrzenianie się i różnorodne ładunki

    Kampanie ClickFix zostały wykryte w środowiskach klientów w Stanach Zjednoczonych, Europie, na Bliskim Wschodzie i w Afryce (EMEA). Ataki te są coraz bardziej zróżnicowane, dostarczając nie tylko złodziei, takich jak AMOS, ale także trojany i ransomware. Chociaż ładunki mogą się różnić, podstawowa metodologia pozostaje spójna: manipulowanie zachowaniem użytkownika w celu naruszenia bezpieczeństwa.

    Wniosek: konieczna jest czujność

    Ta kampania podkreśla znaczenie ciągłej czujności, edukacji użytkowników i solidnych kontroli bezpieczeństwa. W miarę rozwoju taktyk inżynierii społecznej, takich jak ClickFix, organizacje i osoby muszą być informowane i przygotowane, aby rozpoznawać i blokować takie zwodnicze zagrożenia.

    Popularne

    Najczęściej oglądane

    Ładowanie...