Atomic macOS Stealer-skadlig programvara
Cybersäkerhetsforskare har avslöjat en ny skadlig kampanj som utnyttjar den vilseledande sociala ingenjörskonsten ClickFix för att distribuera Atomic macOS Stealer (AMOS), en informationsstöldande skadlig kod utformad för att kompromettera Apples macOS-system.
Innehållsförteckning
Typosquat-taktik: Att imitera spektrum
Angriparna bakom den här kampanjen använder typosquat-domäner som imiterar den USA-baserade telekomleverantören Spectrum, och använder bedrägliga webbplatser som panel-spectrum.net och spectrum-ticket.net för att locka intet ont anande användare. Dessa domäner är utformade för att verka legitima, vilket ökar sannolikheten för användarnas förtroende och interaktion.
Skadligt skalskript: Den dolda nyttolasten
Alla macOS-användare som besöker dessa förfalskade webbplatser får ett skadligt skalskript. Skriptet uppmanar offren att ange sitt systemlösenord och fortsätter att stjäla inloggningsuppgifter, kringgå macOS säkerhetskontroller och installera en variant av AMOS-skadlig programvara för vidare utnyttjande. Inbyggda macOS-kommandon används för att maximera skriptets effektivitet samtidigt som en låg profil bibehålls.
Ursprungsspår: Kommentarer till ryskspråkig kod
Bevis tyder på att rysktalande cyberbrottslingar kan ligga bakom denna kampanj. Forskare hittade kommentarer på ryskspråkiga inbäddade i skadlig programvaras källkod, vilket pekar på hotaktörernas sannolika geografiska och språkliga ursprung.
Bedräglig CAPTCHA: ClickFix-lockbetet
Attacken börjar med ett falskt hCaptcha-verifieringsmeddelande som påstår sig kontrollera användarens anslutningssäkerhet. Efter att ha klickat på kryssrutan "Jag är människa" möts användarna av ett falskt felmeddelande: "CAPTCHA-verifieringen misslyckades". De uppmanas sedan att fortsätta med en "Alternativ verifiering".
Denna åtgärd kopierar ett skadligt kommando till urklipp och visar instruktioner baserade på användarens operativsystem. På macOS vägleds offren att klistra in och köra kommandot i Terminal-appen, vilket startar nedladdningen av AMOS.
Slarvig exekvering: Ledtrådar i koden
Trots kampanjens farliga avsikt noterade forskare inkonsekvenser i attackinfrastrukturen. Dålig logik och programmeringsfel observerades på leveranssidorna, såsom:
- PowerShell-kommandon kopieras för Linux-användare.
- Windows-specifika instruktioner som visas för både Windows- och Mac-användare.
- Avvikelser i frontend-systemet mellan visat operativsystem och instruktioner.
- Dessa misstag tyder på en hastigt byggd eller dåligt underhållen attackinfrastruktur.
ClickFix uppgång: En växande hotvektor
Denna utveckling är en del av en växande trend i användningen av ClickFix-taktiken i flera skadliga kampanjer under det senaste året. Hotaktörer använder konsekvent liknande tekniker, verktyg och procedurer (TTP:er) för initial åtkomst, oftast:
- Spear phishing
- Drive-by-nedladdningar
- Skadliga länkar som delas via betrodda plattformar som GitHub
Falska lösningar, verklig skada: Social ingenjörskonst när den är som värst
Offren luras att tro att de löser ett godartat tekniskt problem. I verkligheten kör de skadliga kommandon som installerar skadlig programvara. Denna form av social ingenjörskonst är mycket effektiv för att kringgå användarmedvetenhet och vanliga säkerhetsmekanismer.
Växande påverkan: Global spridning och olika nyttolaster
ClickFix-kampanjer har upptäckts i kundmiljöer i USA, Europa, Mellanöstern och Afrika (EMEA). Dessa attacker blir alltmer diversifierade och levererar inte bara stöldprogram som AMOS utan även trojaner och ransomware. Även om nyttolasten kan variera, förblir kärnmetoden konsekvent: att manipulera användarbeteende för att äventyra säkerheten.
Slutsats: Vaksamhet krävs
Denna kampanj understryker vikten av kontinuerlig vaksamhet, användarutbildning och robusta säkerhetskontroller. I takt med att social engineering-taktiker som ClickFix utvecklas måste både organisationer och individer hålla sig informerade och förberedda för att känna igen och blockera sådana vilseledande hot.
