Malwarebytes предупреждава за фалшиви версии на популярни приложения в GitHub, които разпространяват зловреден софтуер като Atomic Stealer и застрашават Mac потребители.
Киберпрестъпници използват GitHub за разпространение на зловредни версии на популярни приложения, предупреждава компанията Malwarebytes. Кампанията включва десетки имитации на софтуерни продукти като LastPass, 1Password, Audacity, Dropbox, Thunderbird, Shopify, DaVinci Resolve и други. Целта е потребителите да бъдат подведени да изтеглят и инсталират зловреден код сами на своите устройства.
Миналата седмица LastPass алармира за масирана атака срещу Mac потребители, при която GitHub страници са се представяли за официални инсталатори. Разследването на Malwarebytes разкрива, че схемата е много по-широка и включва използването на SEO оптимизация и платени реклами в Google за повишаване на видимостта на измамните страници.
Как работи атаката
Жертвите, търсещи конкретно приложение, попадат на фалшив GitHub репозиториум чрез отровени SEO резултати или спонсорирани реклами. Там им се предлага бутон за изтегляне, който ги пренасочва към инструкции за „инсталация“. Реално обаче потребителите се подмамват да копират и поставят команда в терминала, която изтегля и стартира скрипт от сървър на нападателите.
Основното оръжие на тази кампания е Atomic Stealer (AMOS) – инфостийлър за macOS, който може да краде криптовалути, пароли, документи и друга чувствителна информация.
„Най-лесният начин за заразяване на Mac е да убедиш потребителя да инсталира зловредния код сам“, коментират от Malwarebytes. Обфускирането чрез base64 позволява на скрипта да заобиколи стандартните защити на macOS.
Постоянна заплаха
Макар че редица измамни репозиториуми вече са премахнати, изследователите предупреждават, че престъпниците непрекъснато създават нови. Поради динамичния характер на кампанията вероятността за повторни атаки е много висока.
Препоръки към потребителите
Malwarebytes съветва:
-
винаги да се изтеглят приложения от официалните сайтове на разработчиците;
-
да се избягват спонсорирани линкове при търсене;
-
никога да не се изпълняват команди от непознати страници или форуми, особено комбинации от типа
curl ... | bash.
Кампанията ясно показва как престъпниците използват популярността на легитимни инструменти, за да компрометират потребителите, и подчертава нуждата от повишена бдителност при работа с GitHub и други платформи за споделяне на код.
