Нова злонамерена кампания атакува macOS разработчици чрез фалшиви уебсайтове, имитиращи легитимни платформи като Homebrew, LogMeIn и TradingView. Измамниците използват техники от типа „ClickFix“, за да подмамят потребителите сами да стартират в терминала команди, които инсталират инфостийлър малуер като AMOS (Atomic macOS Stealer) и Odyssey.

Подмяна на популярни инструменти за разработчици

Homebrew е широко използван пакетен мениджър с отворен код за macOS и Linux, който улеснява инсталацията на софтуер. Името му обаче често се злоупотребява от киберпрестъпници в кампании за разпространение на AMOS чрез малвъртайзинг (злонамерена реклама).

LogMeIn и TradingView, съответно услуги за отдалечен достъп и финансов анализ, също са използвани като примамки. Изследователи от Hunt.io са идентифицирали над 85 домейна, които имитират тези платформи, включително homebrewupdate.org, tradingvieweu.com и други.

Част от трафика към тези сайтове е пренасочван чрез Google Ads, което подсказва, че атакуващите са закупили реклами, за да се появяват по-високо в резултатите на търсачките.

„ClickFix“: потребителят сам си стартира инфекцията

Фалшивите страници изглеждат напълно автентични, като предлагат „официални“ изтегляния на приложенията. Те инструктират жертвите да копират и поставят в Terminal команда за инсталация – в действителност зловреден скрипт.

В някои случаи, като при фалшивите страници на TradingView, злонамерената команда е представена като „потвърждение на сигурността на връзката“, но натискането на бутона „Copy“ копира base64-кодиран инсталационен скрипт, който изтегля и изпълнява „install.sh“ файл.

Този файл сваля бинарен payload, премахва quarantine-флаговете и заобикаля Gatekeeper – системната защита на macOS, която предотвратява стартиране на непроверени приложения.

Откраднати данни и контрол над системата

След стартиране, payload-ът проверява дали не се намира във виртуална машина, след което се активира.
Малуерът изисква root права чрез sudo и първо събира информация за хардуера и паметта.

След това:

• манипулира системни услуги (например спира процеси на OneDrive);

• използва XPC услуги на macOS, за да прикрие активността си;

• активира модули за кражба на данни, включително:

  • браузърни пароли и бисквитки (Chrome, Firefox, Safari);

  • данни от крипто портфейли;

  • Keychain идентификационни данни;

  • лични файлове, които се изпращат към C2 сървърите на нападателите.

AMOS и Odyssey – двете лица на macOS заплахата

AMOS (Atomic macOS Stealer) е „malware-as-a-service“, открит през април 2023 г. и предлаган за $1000 на месец. Той може да краде широк набор от данни от заразени устройства и наскоро е получил бекдор модул за постоянен достъп.

Odyssey Stealer, идентифициран през лятото от изследователи на CYFIRMA, е ново поколение заплаха, произлязла от Poseidon Stealer (който сам е разклонение на AMOS). Odyssey е способен да краде идентификационни данни, крипто портфейли и системни ключове, като ги архивира и изпраща към атакуващите.

Съвет към потребителите: никога не стартирайте непознати команди

Експертите силно препоръчват потребителите да не поставят в Terminal команди, намерени онлайн, ако не разбират напълно какво правят. Дори и легитимно изглеждащи уебсайтове могат да бъдат злонамерени копия, предназначени да заразят системата с инфостийлъри или бекдори.