Злонамерни софтвер Atomic macOS Stealer

Истраживачи сајбер безбедности открили су нову кампању злонамерног софтвера која користи обмањујућу тактику социјалног инжењеринга познату као ClickFix за дистрибуцију Atomic macOS Stealer (AMOS), злонамерног софтвера за крађу информација дизајнираног да угрози Apple macOS системе.

Тактика типосквота: Имитирање спектра

Нападачи који стоје иза ове кампање користе типосквот домене који имитирају америчког телекомуникационог провајдера Spectrum, користећи лажне веб странице попут panel-spectrum.net и spectrum-ticket.net како би намамили неслутеће кориснике. Ови слични домени су направљени да изгледају легитимно, повећавајући вероватноћу поверења и интеракције корисника.

Злонамерни шел скрипт: Скривени корисни терет

Свим корисницима macOS-а који посете ове лажне сајтове служи се злонамерни shell скрипт. Овај скрипт подстиче жртве да унесу своју системску лозинку и наставља да краде акредитиве, заобилази безбедносне контроле macOS-а и инсталира варијанту AMOS малвера за даљу експлоатацију. Изворне macOS команде се користе за максимизирање ефикасности скрипте уз одржавање ниског профила.

Трагови порекла: Коментари о руско-језичком коду

Докази указују на то да иза ове кампање могу бити сајбер криминалци који говоре руски. Истраживачи су пронашли коментаре на руском језику уграђене у изворни код злонамерног софтвера, што указује на вероватно географско и језичко порекло претњи.

Обмањујући CAPTCHA: Мамац за ClickFix

Напад почиње лажном hCaptcha верификационом поруком која тврди да проверава безбедност корисничке везе. Након што кликну на поље за потврду „Ја сам човек“, корисници добијају лажну поруку о грешци: „CAPTCHA верификација није успела“. Затим се од њих тражи да наставе са „алтернативном верификацијом“.

Ова радња копира злонамерну команду у међуспремник и приказује упутства на основу оперативног система корисника. На macOS-у, жртве се воде да налепе и покрену команду у апликацији Терминал, чиме се покреће преузимање AMOS-а.

Немарно извршење: Трагови у коду

Упркос опасној намери кампање, истраживачи су приметили недоследности у инфраструктури напада. Лоша логика и програмске грешке су примећене на страницама за испоруку, као што су:

• PowerShell команде се копирају за кориснике Linux-а.
• Упутства специфична за Windows приказана су и корисницима Windows-а и Mac-а.
• Неусклађености између приказаног ОС-а и инструкција на фронт-енду.

• Ове грешке указују на брзоплето изграђену или лоше одржавану инфраструктуру напада.

Успон ClickFix-а: растући вектор претње

Овај развој догађаја део је растућег тренда коришћења тактике ClickFix у вишеструким кампањама злонамерног софтвера током прошле године. Претње доследно користе сличне технике, алате и процедуре (TTP) за почетни приступ, најчешће:

• Фишинг путем копља
• Преузимања из аутомобила
• Злонамерни линкови дељени путем поузданих платформи попут ГитХаба

Лажне поправке, стварна штета: Социјални инжењеринг у најгорем издању

Жртве су преварене да поверују да решавају безопасан технички проблем. У стварности, оне извршавају штетне команде које инсталирају злонамерни софтвер. Овај облик друштвеног инжењеринга је веома ефикасан у заобилажењу свести корисника и стандардних безбедносних механизама.

Растући утицај: Глобално распрострањеност и разноврсни корисни терет

ClickFix кампање су откривене у различитим корисничким окружењима у Сједињеним Државама, Европи, Блиском истоку и Африци (EMEA). Ови напади су све диверзификацији, испоручујући не само крадљивце вируса попут AMOS-а, већ и тројанце и ransomware. Иако се корисни терет може разликовати, основна методологија остаје доследна: манипулисање понашањем корисника како би се угрозила безбедност.

Закључак: Потребна је будност

Ова кампања наглашава важност сталне будности, едукације корисника и робусних безбедносних контрола. Како се тактике социјалног инжењеринга попут ClickFix-а развијају, организације и појединци морају остати информисани и спремни да препознају и блокирају такве обмањујуће претње.