Търсене
Close this search box.

Фалшиви актуализации на браузъра, насочени към Mac системи

Широко популярна кампания за социално инженерство, която преди е била насочена само към системи с Windows, се е разширила и сега използва фалшиви актуализации на браузъра, за да разпространява Atomic Stealer – опасен крадец на информация – в системи с macOS.

Експертите твърдят, че за първи път наблюдават как доминираща измама за социално инженерство, която преди е била насочена специално към Windows, се прехвърля към macOS.

Зловредният софтуер, наричан още AMOS, се появи по-рано тази година в специален канал в Telegram. Оттогава престъпниците, които могат да наемат зловредния софтуер на абонаментен принцип за около 1000 долара на месец, използват различни средства за разпространението му. Най-често срещаната тактика е разпространението на зловредния софтуер чрез инсталатори за популярни приложения или чрез предполагаеми кракнати версии на Microsoft Office и други широко използвани приложения.

Кампания ClearFake

Тази седмица изследователи от Malwarebytes съобщиха, че са наблюдавали извършител, който разпространява Atomic Stealer чрез стотици компрометирани уебсайтове, които обслужват фалшиви актуализации за браузърите Chrome и Safari. Друг изследовател в областта на сигурността, Ранди МакЕоин, за първи път забеляза компрометираните уебсайтове през август и нарече зловредния софтуер за генериране на фалшивите актуализации за браузъри „ClearFake“.

Тогава McEoin описа ClearFake като зловреден софтуер, който първоначално зарежда нормална страница, когато потребителят посети компрометиран уебсайт, но след това я заменя със страница, която подканва потребителя да актуализира браузъра си. Потребителите на Mac, които отговарят на подканата, в крайна сметка изтеглят Atomic Stealer на своите системи, отбелязва изследователят по сигурността.

„Това може би е първият път, в който виждаме една от основните кампании за социално инженерство, досега запазена за Windows, да се разклонява не само по отношение на геолокацията, но и на операционната система“, заяви изследователят на Malwarebytes Джером Сегура в блог тази седмица.

Според Сегура шаблонът на Safari, който компрометираният от ClearFake уебсайт обслужва, е идентичен с този на официалния уебсайт на Apple и е достъпен на множество езици. Съществува и шаблон за Google Chrome за потребителите на Mac, който е много подобен на този, използван за потребителите на Windows, каза Сегура.

Полезният товар за потребителите на Mac е файл с изображение на диска (DMG), маскиран като актуализация на браузъра, с инструкции за потребителите как да го отворят. Ако бъде отворен, файлът веднага изисква паролата на администратора и след това изпълнява команди за кражба на данни от системата. Изследователите на Malwarebytes са наблюдавали команди за кражба на пароли и извличане на различни файлове от компрометираната система и изпращането им към отдалечен сървър за управление и контрол.

„Разбиване и заграбване с един удар

SentinelOne, която проследява зловредния софтуер, описва Atomic Stealer като способен да краде пароли за акаунти, данни от браузъра, бисквитки на сесии и портфейли за криптовалути. Доставчикът на услуги за сигурност съобщава, че е видял цели 300 абонати за Atomic Stealer в канала на автора в Telegram още през май 2023 г. Неговият анализ на зловредния софтуер показа, че има поне две версии на Atomic Stealer, едната от които е скрита в инсталатора на игра. SentinelOne установи, че тази версия на зловредния софтуер изглежда е създадена специално за кражба на информация от геймъри и потребители на криптовалути.

Едно от поведенията на Atomic Stealer, което SentinelOne изтъкна в доклада си, беше липсата на какъвто и да е опит на зловредния софтуер да получи устойчивост на компрометирана машина. Вместо това зловредният софтуер изглежда е разчитал на това, което SentinelOne описва като „методология за разбиване и заграбване с един удар“ чрез подмяна на AppleScript.

„Фалшивите актуализации на браузъра са често срещана тема за потребителите на Windows от години“, отбеляза Сегура. Въпреки това до кампанията ClearFake заплахите не са използвали този вектор за разпространение на зловреден софтуер за macOS. „Популярността на крадци като AMOS прави доста лесно адаптирането на полезния товар към различни жертви с малки корекции“, каза той.

Новият зловреден софтуер и кампанията са само последното проявление на това, което някои съобщават като по-голям интерес на заплахите към системите macOS. През август Accenture съобщи, че от 2019 г. насам има 1000% увеличение на броя на заплахите, насочени към операционната система. Сред тях е и един нападател, който е предложил до 1 млн. долара за работещ експлойт за macOS, установи Accenture. „Голямо безпокойство буди появата на утвърдени хакери с висока репутация в тези среди и големи бюджети, които търсят експлойти и други методи, които биха им позволили да заобиколят функциите за сигурност на macOS“, заяви Accenture.

 

Източник: DARKReading

Подобни публикации

19 април 2024

Замбия арестува 77 души в операция за киберпрес...

Компанията за фалшиви телефонни центрове извършва онлайн  и други и...
18 април 2024

Платформата за фишинг LabHost е закрита от прав...

LabHost, голяма платформа за фишинг като услуга, е била затворена к...
18 април 2024

Компания за управление на киберриска набра 21 м...

В сряда компанията за риск мениджмънт CyberSaint обяви, че е набрал...
18 април 2024

Болница в Кан с 869 легла и 2100 служителя прет...

Болница „Симон Вейл“ в Кан (CHC-SV) обяви, че във вторн...
18 април 2024

Akira ransomware е събрала 42 млн. долара от ре...

Според съвместна препоръка на ФБР, CISA, Европейския център за кибе...
18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
Бъдете социални
Още по темата
22/03/2024

Над 800 npm пакети с несъот...

Ново изследване откри над 800 пакета...
16/03/2024

Зловредният софтуер Ande Lo...

Заплахата, известна като Blind Eagle, е...
28/02/2024

Новата версия на IDAT loade...

Хакерска група, проследена като „UAC-0184“, е...
Последно добавени
19/04/2024

Замбия арестува 77 души в о...

Компанията за фалшиви телефонни центрове извършва...
18/04/2024

Платформата за фишинг LabHo...

LabHost, голяма платформа за фишинг като...
18/04/2024

Компания за управление на к...

В сряда компанията за риск мениджмънт...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!