Zlonamerna programska oprema Atomic macOS Stealer
Raziskovalci kibernetske varnosti so odkrili novo kampanjo zlonamerne programske opreme, ki izkorišča zavajajočo taktiko socialnega inženiringa, znano kot ClickFix, za distribucijo Atomic macOS Stealer (AMOS), zlonamerne programske opreme za krajo informacij, zasnovane za ogrožanje sistemov Apple macOS.
Kazalo
Taktike Typosquat: Poosebljanje Spectrum
Napadalci, ki stojijo za to kampanjo, uporabljajo domene z napačnimi tipi, ki posnemajo ameriškega telekomunikacijskega ponudnika Spectrum, in uporabljajo goljufive spletne strani, kot sta panel-spectrum.net in spectrum-ticket.net, da bi privabili nič hudega sluteče uporabnike. Te domene, ki so videti podobne, so oblikovane tako, da so videti legitimne, kar povečuje verjetnost zaupanja in interakcije uporabnikov.
Zlonamerni skript lupine: Skriti koristni tovor
Vsem uporabnikom macOS-a, ki obiščejo ta ponarejena spletna mesta, se streže zlonamerna skriptna lupina. Ta skripta žrtve pozove, da vnesejo svoje sistemsko geslo, nato pa ukrade poverilnice, zaobide varnostne kontrole macOS-a in namesti različico zlonamerne programske opreme AMOS za nadaljnje izkoriščanje. Izvorni ukazi macOS se uporabljajo za povečanje učinkovitosti skripte, hkrati pa ohranjajo neopaznost.
Sledi izvora: Komentarji rusko-jezične kode
Dokazi kažejo, da za to kampanjo morda stojijo rusko govoreči kibernetski kriminalci. Raziskovalci so v izvorni kodi zlonamerne programske opreme našli komentarje v ruskem jeziku, ki kažejo na verjeten geografski in jezikovni izvor akterjev groženj.
Zavajajoča CAPTCHA: vaba ClickFix
Napad se začne s ponarejenim sporočilom za preverjanje hCaptcha, ki naj bi preverjalo varnost uporabnikove povezave. Po kliku na potrditveno polje »Sem človek« se uporabnikom prikaže ponarejeno sporočilo o napaki: »Preverjanje CAPTCHA ni uspelo«. Nato so pozvani, da nadaljujejo z »alternativnim preverjanjem«.
To dejanje kopira zlonamerni ukaz v odložišče in prikaže navodila glede na uporabnikov operacijski sistem. V sistemu macOS so žrtve vodene k prilepitvi in zagonu ukaza v aplikaciji Terminal, s čimer se začne prenos programa AMOS.
Površna izvedba: Namigi v kodi
Kljub nevarnemu namenu kampanje so raziskovalci opazili nedoslednosti v napadalni infrastrukturi. Na straneh za dostavo so opazili slabo logiko in programske napake, kot so:
- Ukazi PowerShell se kopirajo za uporabnike Linuxa.
- Navodila za Windows, specifična za sistem Windows, prikazana tako uporabnikom sistema Windows kot tudi uporabnikom sistema Mac.
- Neusklajenosti med prikazanim operacijskim sistemom in navodili na strani front-enda.
- Te napake kažejo na prenagljeno zgrajeno ali slabo vzdrževano napadalno infrastrukturo.
Vzpon ClickFixa: Širjenje vektorja grožnje
Ta razvoj je del naraščajočega trenda uporabe taktike ClickFix v več kampanjah zlonamerne programske opreme v preteklem letu. Akterji grožnje dosledno uporabljajo podobne tehnike, orodja in postopke (TTP) za začetni dostop, najpogosteje:
- Lažno predstavljanje (spear phishing)
- Prenosi iz avtomobila
- Zlonamerne povezave, deljene prek zaupanja vrednih platform, kot je GitHub
Lažne popravke, resnična škoda: socialni inženiring v najslabši obliki
Žrtve so prevarane, da mislijo, da rešujejo neškodljivo tehnično težavo. V resnici izvajajo škodljive ukaze, ki namestijo zlonamerno programsko opremo. Ta oblika socialnega inženiringa je zelo učinkovita pri obhodu uporabnikove ozaveščenosti in standardnih varnostnih mehanizmov.
Naraščajoči vpliv: globalna razširjenost in raznoliki koristni tovori
Kampanje ClickFix so bile zaznane v uporabniških okoljih v Združenih državah Amerike, Evropi, na Bližnjem vzhodu in v Afriki (EMEA). Ti napadi so vse bolj raznoliki in ne prinašajo le kradljivcev, kot je AMOS, temveč tudi trojanske konje in izsiljevalsko programsko opremo. Čeprav se lahko koristni tovor razlikuje, ostaja osnovna metodologija dosledna: manipuliranje vedenja uporabnikov za ogrožanje varnosti.
Zaključek: Potrebna je budnost
Ta kampanja poudarja pomen stalne budnosti, izobraževanja uporabnikov in robustnih varnostnih kontrol. Ker se taktike socialnega inženiringa, kot je ClickFix, razvijajo, morajo organizacije in posamezniki ostati obveščeni in pripravljeni prepoznati in blokirati takšne zavajajoče grožnje.
