Η καμπάνια ψεύ
τι
κης ενημέρωσης προγράμματος περιήγησης «ClearFake» επεκτάθηκε στο
macOS
, στοχεύοντας υπολογιστές Apple με κακόβουλο λογισμικό Atomic Stealer (AMOS).
Η καμπάνια ClearFake
ξεκίνησε τον Ιούλιο
φέτος να στοχεύει χρήστες Windows με ψεύτικα μηνύματα ενημέρωσης του
Chrome
που εμφανίζονται σε ιστότοπους που έχουν παραβιαστεί μέσω ενέσεων JavaScript.
Τον Οκτώβριο του 2023, η Guardio Labs ανακάλυψε μια σημαντική εξέλιξη για την κακόβουλη λειτουργία, η οποία αξιοποίησε τα συμβόλαια Binance Smart Chain για να κρύψει τα κακόβουλα σενάρια που υποστηρίζουν την αλυσίδα μόλυνσης στο blockchain.
Μέσω αυτής της τεχνικής, που ονομάστηκε “EtherHiding”, οι χειριστές διένειμαν ωφέλιμα φορτία στόχευσης των Windows, συμπεριλαμβανομένων κακόβουλων προγραμμάτων που κλέβουν πληροφορίες όπως το RedLine, το Amadey και το Lumma.
Επέκταση σε macOS
Στις 17 Νοεμβρίου 2023, αναλυτής απειλών
ανέφερε ο Ankit Anubhav
ότι το ClearFake είχε αρχίσει να πιέζει ωφέλιμα φορτία DMG σε χρήστες macOS που επισκέπτονταν παραβιασμένους ιστότοπους.
ΕΝΑ
Αναφορά Malwarebytes
από τις αρχές αυτής της εβδομάδας επιβεβαιώνει αυτήν την εξέλιξη, αναφέροντας ότι αυτές οι επιθέσεις χρησιμοποιούν ένα δόλωμα ενημέρωσης Safari μαζί με την τυπική επικάλυψη Chrome.
Επικάλυψη ψευδούς ενημέρωσης που στοχεύει χρήστες macOS
Πηγή:
Malwarebytes
Το ωφέλιμο φορτίο που μειώθηκε σε αυτές τις περιπτώσεις είναι το Atomic, ένα κακόβουλο λογισμικό κλοπής πληροφοριών που πωλείται σε εγκληματίες του
κυβερνοχώρο
υ μέσω καναλιών Telegram για 1.000 $/μήνα.
Ατομικός κλέφτης μεταμφιεσμένος σε ενημέρωση Safari
Πηγή: Malwarebytes
Το Atomic ανακαλύφθηκε τον Απρίλιο του 2023 από τους Trellix και Cyble, οι οποίοι ανέφεραν ότι επιχειρεί να κλέψει κωδικούς πρόσβασης, cookies και πιστωτικές κάρτες που είναι αποθηκευμένες σε προγράμματα περιήγησης, τοπικά αρχεία, δεδομένα από περισσότερες από 50 επεκτάσεις κρυπτονομισμάτων και κωδικούς κλειδιών.
Ο κωδικός κλειδιού είναι ο ενσωματωμένος διαχειριστής κωδικών πρόσβασης του macOS που περιέχει κωδικούς πρόσβασης WiFi, συνδέσεις ιστότοπου, δεδομένα πιστωτικών καρτών και άλλες κρυπτογραφημένες πληροφορίες, επομένως ο παραβιασμός του μπορεί να οδηγήσει σε σημαντική παραβίαση για το θύμα.
Η εξέταση των συμβολοσειρών του ωφέλιμου φορτίου από το Malwarebyte αποκαλύπτει μια σειρά από εντολές για την εξαγωγή ευαίσθητων δεδομένων όπως κωδικούς πρόσβασης και στόχευση αρχείων εγγράφων, εικόνων, αρχείων κρυπτογραφικού πορτοφολιού και κλειδιών.
Συμβολοσειρά εντολών στον κώδικα της Atomic
Πηγή: Malwarebytes
Η καμπάνια ClearFake που στοχεύει τώρα τους Mac είναι μια υπενθύμιση στους χρήστες της Apple να ενισχύσουν την ασφάλειά τους και να είναι προσεκτικοί με τις λήψεις, ιδίως ζητά να ενημερώσετε το πρόγραμμα περιήγησής σας όταν επισκέπτονται ιστότοπους.
Ακόμη και μετά από αρκετούς μήνες μετά την ανακάλυψη και τις αναφορές για την Atomic, το ωφέλιμο φορτίο δεν ανιχνεύεται από
περίπου 50%
κινητήρων AV στο VirusTotal.
Επιπλέον, όλες οι ενημερώσεις του προγράμματος περιήγησης Safari θα διανέμονται μέσω του λογισμικού ενημέρωσης του macOS ή για άλλα προγράμματα περιήγησης, μέσα στο ίδιο το πρόγραμμα περιήγησης.
Επομένως, εάν δείτε τυχόν μηνύματα για λήψη ενημερώσεων προγράμματος περιήγησης σε ιστότοπους, θα πρέπει να αγνοηθούν.
VIA:
bleepingcomputer.com