„Atominė macOS“ vagystės kenkėjiška programa: apie ką ši kampanija?
Table of Contents
Besivystanti grėsmė pažįstamoje kaukėje
Dar viena kibernetinio saugumo problema plinta „macOS“ pasaulyje. Naujoje kenkėjiškų programų kampanijoje, kuri nukreipta prieš „Apple“ naudotojus pasitelkiant sumanią socialinę inžineriją, pastebėta „Atomic macOS Stealer“ (paprastai sutrumpintai AMOS). Užpuolikai, sukūrę „AMOS“, manipuliuoja naudotojų elgesiu, konkrečiai – išnaudoja pasitikėjimą kasdienėje internetinėje aplinkoje.
Šioje kampanijoje naudojamas apgaulingas metodas, žinomas kaip „ ClickFix “ – taktika, kuri svetainėje pateikia tai, kas atrodo kaip įprastas CAPTCHA patvirtinimas. Vartotojai, kurie laikosi šio reikalavimo, nesąmoningai paleidžia kenkėjišką seką, kuri baigiasi AMOS kenkėjiškos programos įdiegimu jų įrenginyje.
Kenkėjiškos programos mechanika
Šios schemos pagrindas – netikras CAPTCHA puslapis, apsimetantis patikimomis interneto platformomis. Šios konkrečios kampanijos atveju užpuolikai mėgdžiojo JAV telekomunikacijų paslaugų teikėjo „Spectrum“ prekės ženklą. Nesąžiningų svetainių (pvz., panel-spectrum.net arba spectrum-ticket.net ) lankytojams buvo pateiktas prašymas patvirtinti savo tapatybę atliekant, regis, įprastą CAPTCHA patikrą.
Kai CAPTCHA nepavyksta – tyčia – pateikiamas raginimas naudoti „Alternatyvų patvirtinimo“ metodą. Šiame žingsnyje slypi tikrasis pavojus. „Mac“ naudotojams rodomos instrukcijos, kaip nukopijuoti ir paleisti terminalo komandą, kuri atrodo nekenksminga, bet inicijuoja scenarijų, kuriame prašoma sistemos slaptažodžio, o tada atsisiunčiama AMOS kenkėjiška programa.
Ką veikia AMOS įdiegus
Vos dislokavusi kenkėjišką programą „Atomic macOS Stealer“, ji pradeda rinkti neskelbtiną naudotojų informaciją. Ji naudoja integruotas „macOS“ komandas, kad išgautų prisijungimo duomenis, pasiektų saugomus slaptažodžius ir galbūt apeitų tam tikrus integruotus saugos mechanizmus. Šis scenarijus yra ne tik invazinis, bet ir apgaulingai paprastas, o tai rodo, koks efektyvus gali būti minimalus kodas patyrusio užpuoliko rankose.
Tyrėjai pastebėjo, kad ši kenkėjiška programa apima rusų kalba parašytus komentarus, kurie rodo rusakalbių kibernetinių nusikaltėlių dalyvavimą. Ši tarptautinė kilmė atitinka platesnes kibernetinių nusikaltimų tendencijas, kai tarpvalstybiniai veikėjai taikosi į plačiai naudojamas platformas, kuriomis pasitiki didelis vartotojų pasitikėjimas.
Prastas dizainas, didelė rizika
Įdomu tai, kad šią kampaniją palaikanti infrastruktūra toli gražu nėra tobula. Analitikai atkreipė dėmesį į daugybę kenkėjiškų programų pristatymo puslapių logikos ir pateikimo neatitikimų. Pavyzdžiui, skirtingose platformose neatitiko nurodymų, pavyzdžiui, „Linux“ vartotojams nurodoma paleisti „Windows“ skirtas „PowerShell“ komandas, ir neaiškių ar prieštaringų nurodymų, rodomų tiek „Mac“, tiek „Windows“ vartotojams.
Šie trūkumai rodo skubotą nustatymą, tačiau jie nesumažina galimos žalos. Net ir nerangus veiksmas gali padaryti didelę žalą, jei įtikins vartotojus sumažinti budrumą.
„ClickFix“: auganti platinimo taktika
„ClickFix“ nėra išskirtinis šios AMOS kampanijos aspektas. Tai platesnis kenkėjiškų programų platinimo metodas, kuris populiarėja dėl savo pritaikomumo ir paprastumo. Kurdami padirbtas CAPTCHA sistemas arba slapukų sutikimo juostas, užpuolikai priverčia vartotojus pačius paleisti kenkėjiškus scenarijus. Tai psichologinis triukas: vartotojai verčiami manyti, kad jie atlieka įprastus veiksmus, kai iš tikrųjų jie kenkia savo įrenginiams.
Apsaugos įmonės, tokios kaip „Darktrace“ ir „Cofense“, pranešė apie staigų tokių atakų skaičiaus augimą Europoje, Artimuosiuose Rytuose, Afrikoje ir Šiaurės Amerikoje. Kitos kampanijos, naudojanti „ClickFix“, platino įvairią kenkėjišką programinę įrangą – nuo vagių, tokių kaip „PureLogs“ ir „Lumma“, iki nuotolinės prieigos Trojos arklių, tokių kaip „NetSupport RAT“ .
Kodėl vartotojai tuo užsiima
Dalis šios taktikos sėkmės slypi tame, ką kibernetinio saugumo ekspertai vadina „patikrinimo nuovargiu“. Šiuolaikiniai vartotojai yra taip įpratę prie iššokančių langų, CAPTCHA ir įprastų raginimų, kad dažnai juos paspaudžia netikėdami. Užpuolikai išnaudoja šį sąlyginį elgesį įterpdami spąstus į tai, kas atrodo kaip standartiniai procesai.
Idealiai pikselių tikslumu sukurtos CAPTCHA puslapių kopijos iš tokių paslaugų kaip „Google reCAPTCHA“ ar „Cloudflare Turnstile“ tik padidina jų patikimumą. Kai kuriais atvejais užpuolikai netgi įterpia šiuos netikrus patvirtinimus į teisėtas, bet pažeistas svetaines, taip pridėdami dar vieną apgaulės sluoksnį.
Ką tai reiškia „macOS“ saugumui
Jau daugelį metų „macOS“ naudotojai, palyginti su „Windows“ naudotojais, jautėsi gana saugūs nuo kenkėjiškų programų. Tokios kampanijos kaip AMOS diegimo kampanijos primena, kad jokia sistema nėra apsaugota, ypač kai silpniausia grandis yra žmogaus elgesys. Socialinės inžinerijos naudojimas reiškia, kad užpuolikams nereikia ieškoti OS pažeidžiamumų – jiems tereikia, kad naudotojai vykdytų nurodymus.
Poveikis platus. Tai pabrėžia vartotojų informuotumo, platformoms būdingų apsaugos priemonių poreikį ir nuolatinį iššūkį atskirti teisėtus sistemos veiksmus nuo apgaulingų gudrybių.
Baigiamosios mintys
Nors „macOS“ siūlo stiprias integruotas apsaugos priemones, jos veiksmingos tik tuo atveju, jei vartotojai yra atsargūs dėl to, ką jie vykdo savo sistemose. Vartotojai turėtų vengti vykdyti nepažįstamas komandas terminale, dar kartą patikrinti URL autentiškumą ir skeptiškai vertinti bet kurią svetainę, kuri ragina juos patvirtinti savo tapatybę neįprastais būdais.
Kenkėjiškų programų kampanijoms, tokioms kaip AMOS, toliau vystantis, viena geriausių apsaugos priemonių yra nuolatinis informuotumas. Sąmoningumas yra ne tik galia – tai apsauga.
