Atomic macOS Stealer Malware

Natuklasan ng mga mananaliksik ng Cybersecurity ang isang bagong malware campaign na gumagamit ng mapanlinlang na taktika ng social engineering na kilala bilang ClickFix para ipamahagi ang Atomic macOS Stealer (AMOS), isang malware na nagnanakaw ng impormasyon na idinisenyo upang ikompromiso ang mga Apple macOS system.

Mga Taktika sa Typosquat: Nagpanggap na Spectrum

Ang mga umaatake sa likod ng kampanyang ito ay gumagamit ng mga typosquat na domain na ginagaya ang US-based na telecom provider na Spectrum, gamit ang mga mapanlinlang na website tulad ng panel-spectrum.net at spectrum-ticket.net upang akitin ang mga hindi mapag-aalinlanganang user. Ang mga kamukhang domain na ito ay ginawa upang lumabas na lehitimo, na nagpapataas ng posibilidad ng tiwala at pakikipag-ugnayan ng user.

Malicious Shell Script: Ang Nakatagong Payload

Sinumang mga gumagamit ng macOS na bumisita sa mga spoofed na site na ito ay bibigyan ng malisyosong shell script. Ang script na ito ay nag-uudyok sa mga biktima na ipasok ang kanilang password ng system at magpatuloy upang magnakaw ng mga kredensyal, laktawan ang mga kontrol sa seguridad ng macOS, at mag-install ng variant ng AMOS malware para sa karagdagang pagsasamantala. Ginagamit ang mga native na command ng macOS upang i-maximize ang pagiging epektibo ng script habang pinapanatili ang mababang profile.

Bakas ng Pinagmulan: Mga Komento sa Code ng Russian-Language

Iminumungkahi ng ebidensya na ang mga cybercriminal na nagsasalita ng Russian ay maaaring nasa likod ng kampanyang ito. Natagpuan ng mga mananaliksik ang mga komento sa wikang Ruso na naka-embed sa source code ng malware, na tumuturo sa malamang na heograpikal at linguistic na pinagmulan ng mga aktor ng pagbabanta.

Mapanlinlang na CAPTCHA: Ang ClickFix Lure

Nagsisimula ang pag-atake sa isang pekeng mensahe ng pag-verify ng hCaptcha na nagsasabing sinusuri ang seguridad ng koneksyon ng user. Pagkatapos i-click ang checkbox na 'Ako ay tao', ang mga user ay natutugunan ng isang pekeng mensahe ng error: 'Nabigo ang pag-verify ng CAPTCHA.' Pagkatapos ay sasabihan sila na magpatuloy sa isang "Alternatibong Pag-verify."

Kinokopya ng pagkilos na ito ang isang nakakahamak na command sa clipboard at nagpapakita ng mga tagubilin batay sa operating system ng user. Sa macOS, ginagabayan ang mga biktima na i-paste at patakbuhin ang command sa Terminal app, na sinisimulan ang pag-download ng AMOS.

Sloppy Execution: Mga Clue sa Code

Sa kabila ng mapanganib na layunin ng kampanya, napansin ng mga mananaliksik ang mga hindi pagkakapare-pareho sa imprastraktura ng pag-atake. Ang hindi magandang lohika at mga error sa programming ay naobserbahan sa mga pahina ng paghahatid, tulad ng:

• Kinokopya ang mga utos ng PowerShell para sa mga user ng Linux.
• Mga tagubiling tukoy sa Windows na ipinapakita sa parehong mga user ng Windows at Mac.
• Mga hindi pagkakatugma sa front-end sa pagitan ng ipinapakitang OS at mga tagubilin.

Ang Pagtaas ng ClickFix: Isang Lumalawak na Vector ng Banta

Ang pag-unlad na ito ay bahagi ng lumalagong kalakaran sa paggamit ng taktika ng ClickFix sa maraming kampanya ng malware sa nakalipas na taon. Ang mga aktor ng pagbabanta ay patuloy na gumagamit ng mga katulad na pamamaraan, tool, at pamamaraan (TTP) para sa paunang pag-access, kadalasan:

• Spear phishing
• Drive-by na mga pag-download
• Mga nakakahamak na link na ibinahagi sa pamamagitan ng mga pinagkakatiwalaang platform tulad ng GitHub

Mga Pekeng Pag-aayos, Tunay na Pinsala: Social Engineering sa Pinakamahina Nito

Ang mga biktima ay dinadaya sa paniniwalang niresolba nila ang isang hindi magandang teknikal na isyu. Sa totoo lang, nagsasagawa sila ng mga mapaminsalang utos na nag-i-install ng malware. Ang anyo ng social engineering ay lubos na epektibo sa pag-bypass sa kamalayan ng gumagamit at mga karaniwang mekanismo ng seguridad.

Lumalagong Epekto: Global Spread at Diverse Payloads

Na-detect ang mga ClickFix campaign sa mga environment ng customer sa United States, Europe, Middle East, at Africa (EMEA). Ang mga pag-atake na ito ay lalong nagiging sari-sari, na naghahatid hindi lamang ng mga magnanakaw tulad ng AMOS kundi pati na rin ng mga trojan at ransomware. Bagama't maaaring mag-iba ang mga payload, nananatiling pare-pareho ang pangunahing pamamaraan: pagmamanipula ng gawi ng user upang ikompromiso ang seguridad.

Konklusyon: Kinakailangan ang Pagpupuyat

Binibigyang-diin ng kampanyang ito ang kahalagahan ng patuloy na pagbabantay, edukasyon ng gumagamit, at matatag na kontrol sa seguridad. Habang umuunlad ang mga taktika ng social engineering tulad ng ClickFix, ang mga organisasyon at indibidwal ay dapat manatiling may kaalaman at handa na kilalanin at harangan ang mga mapanlinlang na banta.