Търсене
Close this search box.

Широко популярна кампания за социално инженерство, която преди е била насочена само към системи с Windows, се е разширила и сега използва фалшиви актуализации на браузъра, за да разпространява Atomic Stealer – опасен крадец на информация – в системи с macOS.

Експертите твърдят, че за първи път наблюдават как доминираща измама за социално инженерство, която преди е била насочена специално към Windows, се прехвърля към macOS.

Зловредният софтуер, наричан още AMOS, се появи по-рано тази година в специален канал в Telegram. Оттогава престъпниците, които могат да наемат зловредния софтуер на абонаментен принцип за около 1000 долара на месец, използват различни средства за разпространението му. Най-често срещаната тактика е разпространението на зловредния софтуер чрез инсталатори за популярни приложения или чрез предполагаеми кракнати версии на Microsoft Office и други широко използвани приложения.

Кампания ClearFake

Тази седмица изследователи от Malwarebytes съобщиха, че са наблюдавали извършител, който разпространява Atomic Stealer чрез стотици компрометирани уебсайтове, които обслужват фалшиви актуализации за браузърите Chrome и Safari. Друг изследовател в областта на сигурността, Ранди МакЕоин, за първи път забеляза компрометираните уебсайтове през август и нарече зловредния софтуер за генериране на фалшивите актуализации за браузъри „ClearFake“.

Тогава McEoin описа ClearFake като зловреден софтуер, който първоначално зарежда нормална страница, когато потребителят посети компрометиран уебсайт, но след това я заменя със страница, която подканва потребителя да актуализира браузъра си. Потребителите на Mac, които отговарят на подканата, в крайна сметка изтеглят Atomic Stealer на своите системи, отбелязва изследователят по сигурността.

„Това може би е първият път, в който виждаме една от основните кампании за социално инженерство, досега запазена за Windows, да се разклонява не само по отношение на геолокацията, но и на операционната система“, заяви изследователят на Malwarebytes Джером Сегура в блог тази седмица.

Според Сегура шаблонът на Safari, който компрометираният от ClearFake уебсайт обслужва, е идентичен с този на официалния уебсайт на Apple и е достъпен на множество езици. Съществува и шаблон за Google Chrome за потребителите на Mac, който е много подобен на този, използван за потребителите на Windows, каза Сегура.

Полезният товар за потребителите на Mac е файл с изображение на диска (DMG), маскиран като актуализация на браузъра, с инструкции за потребителите как да го отворят. Ако бъде отворен, файлът веднага изисква паролата на администратора и след това изпълнява команди за кражба на данни от системата. Изследователите на Malwarebytes са наблюдавали команди за кражба на пароли и извличане на различни файлове от компрометираната система и изпращането им към отдалечен сървър за управление и контрол.

„Разбиване и заграбване с един удар

SentinelOne, която проследява зловредния софтуер, описва Atomic Stealer като способен да краде пароли за акаунти, данни от браузъра, бисквитки на сесии и портфейли за криптовалути. Доставчикът на услуги за сигурност съобщава, че е видял цели 300 абонати за Atomic Stealer в канала на автора в Telegram още през май 2023 г. Неговият анализ на зловредния софтуер показа, че има поне две версии на Atomic Stealer, едната от които е скрита в инсталатора на игра. SentinelOne установи, че тази версия на зловредния софтуер изглежда е създадена специално за кражба на информация от геймъри и потребители на криптовалути.

Едно от поведенията на Atomic Stealer, което SentinelOne изтъкна в доклада си, беше липсата на какъвто и да е опит на зловредния софтуер да получи устойчивост на компрометирана машина. Вместо това зловредният софтуер изглежда е разчитал на това, което SentinelOne описва като „методология за разбиване и заграбване с един удар“ чрез подмяна на AppleScript.

„Фалшивите актуализации на браузъра са често срещана тема за потребителите на Windows от години“, отбеляза Сегура. Въпреки това до кампанията ClearFake заплахите не са използвали този вектор за разпространение на зловреден софтуер за macOS. „Популярността на крадци като AMOS прави доста лесно адаптирането на полезния товар към различни жертви с малки корекции“, каза той.

Новият зловреден софтуер и кампанията са само последното проявление на това, което някои съобщават като по-голям интерес на заплахите към системите macOS. През август Accenture съобщи, че от 2019 г. насам има 1000% увеличение на броя на заплахите, насочени към операционната система. Сред тях е и един нападател, който е предложил до 1 млн. долара за работещ експлойт за macOS, установи Accenture. „Голямо безпокойство буди появата на утвърдени хакери с висока репутация в тези среди и големи бюджети, които търсят експлойти и други методи, които биха им позволили да заобиколят функциите за сигурност на macOS“, заяви Accenture.

 

Източник: DARKReading

Подобни публикации

2 декември 2024

Две болници в Англия са засегнати от кибератаки...

Миналата седмица две болници на Националната здравна служба (NHS) в...
2 декември 2024

Арестуваха Михаил Павлович Матвеев

Руските власти съобщават, че са арестували Михаил Павлович Матвеев,...
2 декември 2024

6 ключови действия за спазване на разпоредбите ...

NIS2, PCI DSS, GDPR, HIPAA или CMMC… този дълъг списък от сък...
2 декември 2024

Микролайнерът на този стартъп обещава по-евтин ...

Годината беше трудна за стартиращите компании за въздушни таксита. ...
1 декември 2024

Evil Twin WiFi Attack: Ръководство "Стъпка по с...

Добре дошли в задълбоченото изследване на WiFi атаките на злите бли...
1 декември 2024

Клуб от италианската Серия А стана жертва на ра...

Футболен клуб „Болоня 1909“ потвърди, че е претърпял атака с цел от...
30 ноември 2024

Загубите от хакове и измами с криптовалути прод...

През ноември загубите на криптовалута от хакове и измами  отново на...
Бъдете социални
Още по темата
18/11/2024

Фалшиви реклами на Bitwarde...

Фалшиви реклами на мениджъра на пароли...
17/11/2024

10- те най- големи киберата...

Най-големите кибератаки и нарушения на сигурността...
08/10/2024

Защо многофакторното удосто...

Твърде крайно е да се каже,...
Последно добавени
02/12/2024

Две болници в Англия са зас...

Миналата седмица две болници на Националната...
02/12/2024

Арестуваха Михаил Павлович ...

Руските власти съобщават, че са арестували...
02/12/2024

6 ключови действия за спазв...

NIS2, PCI DSS, GDPR, HIPAA или...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!