Знижка на кілька ліцензій
База даних загроз Шкідливе програмне забезпечення Mac Шкідливе програмне забезпечення Atomic macOS Stealer

Шкідливе програмне забезпечення Atomic macOS Stealer

До Mezo року в Шкідливе програмне забезпечення Mac році
Перекласти на:

Дослідники з кібербезпеки виявили нову кампанію шкідливого програмного забезпечення, яка використовує оманливу тактику соціальної інженерії, відому як ClickFix, для розповсюдження Atomic macOS Stealer (AMOS) – шкідливого програмного забезпечення для крадіжки інформації, призначеного для компрометації систем Apple macOS.

Тактика типосквоту: імітація Spectrum

Зловмисники, що стоять за цією кампанією, використовують підроблені домени, що імітують американського телекомунікаційного провайдера Spectrum, та шахрайські веб-сайти, такі як panel-spectrum.net та spectrum-ticket.net, щоб заманити нічого не підозрюючих користувачів. Ці схожі домени створені так, щоб виглядати справжніми, що збільшує ймовірність довіри та взаємодії з користувачами.

Шкідливий скрипт оболонки: приховане корисне навантаження

Будь-яким користувачам macOS, які відвідують ці підроблені сайти, надається шкідливий скрипт оболонки. Цей скрипт пропонує жертвам ввести системний пароль, а потім викрадає облікові дані, обходить засоби контролю безпеки macOS та встановлює варіант шкідливого програмного забезпечення AMOS для подальшого використання. Вбудовані команди macOS використовуються для максимізації ефективності скрипта, зберігаючи при цьому низький профіль.

Сліди походження: Коментарі до російськомовного коду

Докази свідчать про те, що за цією кампанією можуть стояти російськомовні кіберзлочинці. Дослідники виявили російськомовні коментарі, вбудовані у вихідний код шкідливого програмного забезпечення, що вказує на ймовірне географічне та лінгвістичне походження зловмисників.

Оманлива CAPTCHA: приманка ClickFix

Атака починається з фальшивого повідомлення для перевірки hCaptcha, яке нібито перевіряє безпеку з’єднання користувача. Після натискання прапорця «Я людина» користувачі отримують фальшиве повідомлення про помилку: «Перевірка CAPTCHA не вдалася». Потім їм пропонується пройти «альтернативну перевірку».

Ця дія копіює шкідливу команду в буфер обміну та відображає інструкції залежно від операційної системи користувача. У macOS жертвам пропонують вставити та виконати команду в додатку Термінал, що ініціює завантаження AMOS.

Недбале виконання: Підказки в коді

Незважаючи на небезпечний намір кампанії, дослідники помітили невідповідності в інфраструктурі атаки. На сторінках доставки спостерігалися погана логіка та помилки програмування, такі як:

  • Команди PowerShell копіюються для користувачів Linux.
  • Інструкції для Windows, що відображаються як для користувачів Windows, так і для Mac.
  • Невідповідності між відображеною ОС та інструкціями на інтерфейсі.
  • Ці помилки свідчать про поспішно побудовану або погано підтримувану інфраструктуру атаки.

    • Зростання ClickFix: зростаючий вектор загрози

    Цей розвиток подій є частиною зростаючої тенденції використання тактики ClickFix у багатьох кампаніях зі шкідливим програмним забезпеченням протягом останнього року. Зловмисники послідовно використовують схожі методи, інструменти та процедури (TTP) для початкового доступу, найчастіше:

    • Фішинг з використанням копій
    • Завантаження з автомобіля
    • Шкідливі посилання, що поширюються через надійні платформи, такі як GitHub

    Фальшиві виправлення, реальна шкода: соціальна інженерія у найгіршому вигляді

    Жертв обманом змушують повірити, що вони вирішують нешкідливу технічну проблему. Насправді вони виконують шкідливі команди, які встановлюють шкідливе програмне забезпечення. Ця форма соціальної інженерії дуже ефективна для обходу обізнаності користувачів та стандартних механізмів безпеки.

    Зростаючий вплив: глобальне поширення та різноманітні корисні навантаження

    Кампанії ClickFix були виявлені в клієнтських середовищах у Сполучених Штатах, Європі, на Близькому Сході та в Африці (EMEA). Ці атаки стають дедалі диверсифікованішими, поширюючи не лише викрадачів, таких як AMOS, але й троянів та програм-вимагачів. Хоча корисне навантаження може відрізнятися, основна методологія залишається незмінною: маніпулювання поведінкою користувачів для порушення безпеки.

    Висновок: Потрібна пильність

    Ця кампанія підкреслює важливість постійної пильності, навчання користувачів та надійних засобів контролю безпеки. З розвитком тактик соціальної інженерії, таких як ClickFix, організації та окремі особи повинні бути поінформованими та готовими розпізнавати та блокувати такі оманливі загрози.

    В тренді

    Найбільше переглянуті

    Шкідливе програмне забезпечення

    Фішинг, Спам
    34,942
    Шахрайське повідомлення «Apple Pay Suspended» — це різновид фішингової тактики, спрямованої на користувачів Apple Pay. У повідомленні стверджується, що гаманець Apple Pay користувача призупинено, і закликається натиснути посилання, щоб відновити його. Однак, натиснувши посилання, користувач перейде на підроблений веб-сайт, призначений для викрадення його особистої та фінансової інформації. Якщо...

    Fuq.com

    Програма захисту від шпигунського ПЗ, Шкідливе програмне забезпечення Mac
    23,387
    Fuq.com — це програма рекламного типу, яка рекламує веб-сайти з порнографічним вмістом. Рекламні кампанії цієї потенційно небажаної програми (PUP) є дуже агресивними. Вони змушують своїх жертв...
    Завантаження...