Широко популярна кампания за социално инженерство, която преди е била насочена само към системи с Windows, се е разширила и сега използва фалшиви актуализации на браузъра, за да разпространява Atomic Stealer – опасен крадец на информация – в системи с macOS.
Експертите твърдят, че за първи път наблюдават как доминираща измама за социално инженерство, която преди е била насочена специално към Windows, се прехвърля към macOS.
Зловредният софтуер, наричан още AMOS, се появи по-рано тази година в специален канал в Telegram. Оттогава престъпниците, които могат да наемат зловредния софтуер на абонаментен принцип за около 1000 долара на месец, използват различни средства за разпространението му. Най-често срещаната тактика е разпространението на зловредния софтуер чрез инсталатори за популярни приложения или чрез предполагаеми кракнати версии на Microsoft Office и други широко използвани приложения.
Тази седмица изследователи от Malwarebytes съобщиха, че са наблюдавали извършител, който разпространява Atomic Stealer чрез стотици компрометирани уебсайтове, които обслужват фалшиви актуализации за браузърите Chrome и Safari. Друг изследовател в областта на сигурността, Ранди МакЕоин, за първи път забеляза компрометираните уебсайтове през август и нарече зловредния софтуер за генериране на фалшивите актуализации за браузъри „ClearFake“.
Тогава McEoin описа ClearFake като зловреден софтуер, който първоначално зарежда нормална страница, когато потребителят посети компрометиран уебсайт, но след това я заменя със страница, която подканва потребителя да актуализира браузъра си. Потребителите на Mac, които отговарят на подканата, в крайна сметка изтеглят Atomic Stealer на своите системи, отбелязва изследователят по сигурността.
„Това може би е първият път, в който виждаме една от основните кампании за социално инженерство, досега запазена за Windows, да се разклонява не само по отношение на геолокацията, но и на операционната система“, заяви изследователят на Malwarebytes Джером Сегура в блог тази седмица.
Според Сегура шаблонът на Safari, който компрометираният от ClearFake уебсайт обслужва, е идентичен с този на официалния уебсайт на Apple и е достъпен на множество езици. Съществува и шаблон за Google Chrome за потребителите на Mac, който е много подобен на този, използван за потребителите на Windows, каза Сегура.
Полезният товар за потребителите на Mac е файл с изображение на диска (DMG), маскиран като актуализация на браузъра, с инструкции за потребителите как да го отворят. Ако бъде отворен, файлът веднага изисква паролата на администратора и след това изпълнява команди за кражба на данни от системата. Изследователите на Malwarebytes са наблюдавали команди за кражба на пароли и извличане на различни файлове от компрометираната система и изпращането им към отдалечен сървър за управление и контрол.
SentinelOne, която проследява зловредния софтуер, описва Atomic Stealer като способен да краде пароли за акаунти, данни от браузъра, бисквитки на сесии и портфейли за криптовалути. Доставчикът на услуги за сигурност съобщава, че е видял цели 300 абонати за Atomic Stealer в канала на автора в Telegram още през май 2023 г. Неговият анализ на зловредния софтуер показа, че има поне две версии на Atomic Stealer, едната от които е скрита в инсталатора на игра. SentinelOne установи, че тази версия на зловредния софтуер изглежда е създадена специално за кражба на информация от геймъри и потребители на криптовалути.
Едно от поведенията на Atomic Stealer, което SentinelOne изтъкна в доклада си, беше липсата на какъвто и да е опит на зловредния софтуер да получи устойчивост на компрометирана машина. Вместо това зловредният софтуер изглежда е разчитал на това, което SentinelOne описва като „методология за разбиване и заграбване с един удар“ чрез подмяна на AppleScript.
„Фалшивите актуализации на браузъра са често срещана тема за потребителите на Windows от години“, отбеляза Сегура. Въпреки това до кампанията ClearFake заплахите не са използвали този вектор за разпространение на зловреден софтуер за macOS. „Популярността на крадци като AMOS прави доста лесно адаптирането на полезния товар към различни жертви с малки корекции“, каза той.
Новият зловреден софтуер и кампанията са само последното проявление на това, което някои съобщават като по-голям интерес на заплахите към системите macOS. През август Accenture съобщи, че от 2019 г. насам има 1000% увеличение на броя на заплахите, насочени към операционната система. Сред тях е и един нападател, който е предложил до 1 млн. долара за работещ експлойт за macOS, установи Accenture. „Голямо безпокойство буди появата на утвърдени хакери с висока репутация в тези среди и големи бюджети, които търсят експлойти и други методи, които биха им позволили да заобиколят функциите за сигурност на macOS“, заяви Accenture.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.