Vairāku licenču atlaides piedāvājums
Draudu datu bāze Mac ļaunprātīga programmatūra Atomārā macOS zagļu ļaunprogrammatūra

Atomārā macOS zagļu ļaunprogrammatūra

Līdz Mezo. gadam Mac ļaunprātīga programmatūra. gadā
Tulkot uz:

Kiberdrošības pētnieki ir atklājuši jaunu ļaunprogrammatūras kampaņu, kas izmanto maldinošu sociālās inženierijas taktiku, kas pazīstama kā ClickFix, lai izplatītu Atomic macOS Stealer (AMOS) — informāciju zogošu ļaunprogrammatūru, kas paredzēta Apple macOS sistēmu apdraudēšanai.

Typosquat taktika: Spektra personifikācija

Šīs kampaņas uzbrucēji izmanto typosquat domēnus, kas atdarina ASV telekomunikāciju pakalpojumu sniedzēja Spectrum domēnu, izmantojot krāpnieciskas vietnes, piemēram, panel-spectrum.net un spectrum-ticket.net, lai pievilinātu neko nenojaušošus lietotājus. Šie līdzīgie domēni ir izveidoti tā, lai tie izskatītos īsti, palielinot lietotāju uzticēšanās un mijiedarbības iespējamību.

Ļaunprātīgs čaulas skripts: slēptā slodze

Visiem macOS lietotājiem, kas apmeklē šīs viltotās vietnes, tiek piegādāts ļaunprātīgs čaulas skripts. Šis skripts liek upuriem ievadīt sistēmas paroli un pēc tam nozagt akreditācijas datus, apiet macOS drošības kontroles un instalēt AMOS ļaunprogrammatūras variantu tālākai izmantošanai. Lai maksimāli palielinātu skripta efektivitāti, vienlaikus saglabājot zemu profilu, tiek izmantotas vietējās macOS komandas.

Izcelsmes pēdas: krievu valodas koda komentāri

Pierādījumi liecina, ka aiz šīs kampaņas varētu stāvēt krievvalodīgi kibernoziedznieki. Pētnieki ļaunprogrammatūras pirmkodā atrada krievu valodas komentārus, kas norāda uz iespējamo apdraudējuma dalībnieku ģeogrāfisko un lingvistisko izcelsmi.

Maldinošs CAPTCHA: ClickFix ēsma

Uzbrukums sākas ar viltotu hCaptcha verifikācijas ziņojumu, kas apgalvo, ka pārbauda lietotāja savienojuma drošību. Pēc noklikšķināšanas uz izvēles rūtiņas “Esmu cilvēks”, lietotājiem tiek parādīts viltots kļūdas ziņojums: “CAPTCHA verifikācija neizdevās”. Pēc tam viņiem tiek piedāvāts turpināt ar “alternatīvu verifikāciju”.

Šī darbība kopē ļaunprātīgu komandu starpliktuvē un parāda instrukcijas, pamatojoties uz lietotāja operētājsistēmu. Operētājsistēmā macOS upuri tiek mudināti ielīmēt un palaist komandu lietotnē Terminal, uzsākot AMOS lejupielādi.

Nevērīga izpilde: norādes kodā

Neskatoties uz kampaņas bīstamo nolūku, pētnieki pamanīja pretrunas uzbrukuma infrastruktūrā. Piegādes lapās tika novērotas sliktas loģikas un programmēšanas kļūdas, piemēram:

  • PowerShell komandas tiek kopētas Linux lietotājiem.
  • Windows operētājsistēmai paredzētas instrukcijas, kas tiek rādītas gan Windows, gan Mac lietotājiem.
  • Neatbilstības starp parādīto operētājsistēmu un instrukcijām lietotāja saskarnē.
  • Šīs kļūdas norāda uz sasteigtu vai slikti uzturētu uzbrukuma infrastruktūru.

ClickFix uzplaukums: augošs apdraudējuma vektors

Šī attīstība ir daļa no pieaugošās tendences izmantot ClickFix taktiku vairākās ļaunprogrammatūras kampaņās pēdējā gada laikā. Draudu izpildītāji sākotnējai piekļuvei konsekventi izmanto līdzīgas metodes, rīkus un procedūras (TTP), visbiežāk:

  • Šķēpa pikšķerēšana
  • Lejupielādes bez iepriekšēja brīdinājuma
  • Ļaunprātīgas saites, kas kopīgotas, izmantojot uzticamas platformas, piemēram, GitHub

Viltus labojumi, reāls kaitējums: sociālā inženierija vissliktākajā veidā

Cietušie tiek maldināti, liekot viņiem noticēt, ka viņi risina nekaitīgu tehnisku problēmu. Patiesībā viņi izpilda kaitīgas komandas, kas instalē ļaunprogrammatūru. Šāda veida sociālā inženierija ir ļoti efektīva, lai apietu lietotāju informētību un standarta drošības mehānismus.

Pieaugoša ietekme: globāla izplatība un dažādas lietderīgās slodzes

ClickFix kampaņas ir atklātas klientu vidēs Amerikas Savienotajās Valstīs, Eiropā, Tuvajos Austrumos un Āfrikā (EMEA). Šie uzbrukumi kļūst arvien daudzveidīgāki, piegādājot ne tikai zagļus, piemēram, AMOS, bet arī Trojas zirgus un izspiedējvīrusus. Lai gan lietderīgā slodze var atšķirties, pamatmetodoloģija paliek nemainīga: manipulēt ar lietotāja uzvedību, lai apdraudētu drošību.

Secinājums: nepieciešama modrība

Šī kampaņa uzsver nepārtrauktas modrības, lietotāju izglītošanas un stingru drošības kontroles nozīmi. Sociālās inženierijas taktikām, piemēram, ClickFix, attīstoties, gan organizācijām, gan privātpersonām ir jābūt informētām un gatavām atpazīt un bloķēt šādus maldinošus draudus.

Tendences

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
34,942
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...