Mac felhasználók elleni ClickFix kampány hamis GitHub repokkal
A LastPass Threat Intelligence, Mitigation, and Escalation (TIME) csapata egy folyamatban lévő, széles körű infostealer kampányt követ nyomon, amely Mac-felhasználókat céloz meg hamis GitHub repok segítségével, amelyek célja, hogy a potenciális áldozatokat rávegye különböző vállalatok MacOS-hez készült szoftvereinek telepítésére. A LastPass esetében a hamis repok a potenciális áldozatokat egy olyan tárolóba irányították át, amely letölti az Atomic infostealer-t.
A kiberszereplők keresőmotor-optimalizálást (SEO) használnak, hogy rosszindulatú linkeket juttassanak a keresőoldalak találatainak tetejére, beleértve a Binget és a Google-t is. A kártékony tárolók egy „letöltés gombbal” rendelkeznek, amely a látogatókat egy másodlagos webhelyre irányítja, ahol a telepítés végrehajtásához egy parancs beillesztésére kérik őket a Terminálba. Ez egy tipikus „ClickFix” támadás, amely kihasználja, hogy az áldozat nem érti, mit csinál a futtatott parancs a rendszerén. A kampányban alkalmazott parancs curl kérést hajt végre egy base64-kódolt URL-re, és letölti az AMOS payload-ot (install.sh) a /tmp könyvtárba.
Az AMOS egy malware-as-a-service, amely havi 1000 dollárért elérhető, és általában a fertőzött gépeken található adatokat célozza meg. A közelmúltban a rosszindulatú szoftver fejlesztői egy backdoor komponenst is hozzáadtak, amely a támadóknak tartós, rejtett hozzáférést biztosít a kompromittált rendszerekhez.
A LastPass szerint a kampány a saját termékén kívül több mint 100 céget utánoz, például az 1Password, Dropbox, Confluence, Robinhood, Fidelity, Notion, Gemini, Audacity, Adobe After Effects, Thunderbird és SentinelOne szoftvereket.
