Скидка на мультилицензию
База данных угроз Вредоносное ПО для Mac Вредоносное ПО Atomic macOS Stealer

Вредоносное ПО Atomic macOS Stealer

К Mezo году в Вредоносное ПО для Mac году
Перевести на:

Исследователи кибербезопасности обнаружили новую вредоносную кампанию, которая использует обманную тактику социальной инженерии, известную как ClickFix, для распространения Atomic macOS Stealer (AMOS) — вредоносного ПО для кражи информации, предназначенного для взлома систем Apple macOS.

Тактика Typosquat: выдача себя за Spectrum

Злоумышленники, стоящие за этой кампанией, используют домены типосквота, имитирующие американского поставщика телекоммуникационных услуг Spectrum, используя мошеннические веб-сайты, такие как panel-spectrum.net и spectrum-ticket.net, чтобы заманить ничего не подозревающих пользователей. Эти похожие домены созданы так, чтобы казаться законными, что повышает вероятность доверия и взаимодействия пользователей.

Вредоносный скрипт оболочки: скрытая полезная нагрузка

Любому пользователю macOS, который посещает эти поддельные сайты, предоставляется вредоносный скрипт оболочки. Этот скрипт предлагает жертвам ввести свой системный пароль и приступает к краже учетных данных, обходу элементов управления безопасности macOS и установке варианта вредоносного ПО AMOS для дальнейшей эксплуатации. Для максимальной эффективности скрипта при сохранении его незаметности используются собственные команды macOS.

Следы происхождения: комментарии к русскоязычному коду

Факты свидетельствуют о том, что за этой кампанией могут стоять русскоязычные киберпреступники. Исследователи обнаружили русскоязычные комментарии, встроенные в исходный код вредоносной программы, что указывает на вероятное географическое и языковое происхождение субъектов угрозы.

Обманчивая CAPTCHA: приманка ClickFix

Атака начинается с поддельного сообщения проверки hCaptcha, которое якобы проверяет безопасность соединения пользователя. После нажатия флажка «Я человек» пользователи сталкиваются с поддельным сообщением об ошибке: «Проверка CAPTCHA не пройдена». Затем им предлагается перейти к «Альтернативной проверке».

Это действие копирует вредоносную команду в буфер обмена и отображает инструкции на основе операционной системы пользователя. В macOS жертвам предлагается вставить и запустить команду в приложении Terminal, инициируя загрузку AMOS.

Небрежное исполнение: подсказки в коде

Несмотря на опасные намерения кампании, исследователи отметили несоответствия в инфраструктуре атаки. На страницах доставки были обнаружены слабые логические и программные ошибки, такие как:

  • Копирование команд PowerShell для пользователей Linux.
  • Инструкции, предназначенные как для Windows, так и для Mac.
  • Несоответствия между отображаемой ОС и инструкциями на интерфейсе.
  • Эти ошибки указывают на поспешно созданную или плохо поддерживаемую инфраструктуру атак.

Рост ClickFix: расширяющийся вектор угрозы

Эта разработка является частью растущей тенденции использования тактики ClickFix в многочисленных вредоносных кампаниях за последний год. Злоумышленники постоянно используют схожие методы, инструменты и процедуры (TTP) для первоначального доступа, чаще всего:

  • Целевой фишинг
  • Попутные загрузки
  • Вредоносные ссылки, распространяемые через доверенные платформы, такие как GitHub

Ложные исправления, реальный ущерб: социальная инженерия в худшем проявлении

Жертвы обманываются, полагая, что решают безобидную техническую проблему. На самом деле они выполняют вредоносные команды, которые устанавливают вредоносное ПО. Эта форма социальной инженерии очень эффективна для обхода осведомленности пользователя и стандартных механизмов безопасности.

Растущее влияние: глобальное распространение и разнообразные полезные нагрузки

Кампании ClickFix были обнаружены в клиентских средах в США, Европе, на Ближнем Востоке и в Африке (EMEA). Эти атаки становятся все более разнообразными, поставляя не только кражи, такие как AMOS, но также трояны и программы-вымогатели. Хотя полезные нагрузки могут различаться, основная методология остается неизменной: манипулирование поведением пользователя для нарушения безопасности.

Заключение: требуется бдительность

Эта кампания подчеркивает важность постоянной бдительности, обучения пользователей и надежного контроля безопасности. Поскольку тактики социальной инженерии, такие как ClickFix, развиваются, организации и отдельные лица должны быть информированы и готовы распознавать и блокировать такие обманчивые угрозы.

В тренде

Наиболее просматриваемые

Загрузка...