Malware cílí na uživatele Maců s falešným CAPTCHA a krádeží dat AMOS Stealer

ClickFix, metoda sociálního inženýrství zaměřená na uživatele Windows i Maců od začátku roku 2024, se neustále vyvíjí.

Teprve minulý měsíc jsem informoval o tom, jak útočníci používali falešné výzvy CAPTCHA k vylákání uživatelů Windows k instalaci malwaru.

Nyní je stejný trik používán proti macOS. Kybernetickí výzkumníci odhalili novou kampaň využívající ClickFix k distribuci Atomic macOS Stealer (AMOS), výkonného malwaru k krádeži informací zaměřeného na Apple systémy.

Výzkumníci z CloudSEK identifikovali novou hrozbu zaměřenou na uživatele macOS prostřednictvím imitace a podvodu. Kampaň využívá techniku známou jako ClickFix k nalákání obětí prostřednictvím falešných online ověřovacích výzev. Tentokrát útočníci napodobují Spectrum, velkého poskytovatele telekomunikačních služeb ve Spojených státech. Používají podvodné domény, které se velmi podobají skutečným portálům podpory Spectrum. Patří mezi ně zavádějící adresy jako panel spectrum net a spectrum ticket net.

Návštěvníkům těchto stránek se zobrazí standardně vypadající políčko CAPTCHA, které je vyzve k ověření jejich totožnosti. Po jeho vyplnění se zobrazí falešná chybová zpráva, která uvádí, že CAPTCHA selhala. Uživatelé jsou vyzváni k kliknutí na tlačítko s názvem „Alternativní ověření“. Tím se příkaz zkopíruje potichu do schránky. Co se stane dál, závisí na operačním systému uživatele. Na macOS instrukce vedou uživatele k vložení a spuštění příkazu v Terminálu. Tento příkaz je ve skutečnosti shell skript určený ke krádeži informací a stažení malwaru.

Skript je obzvláště nebezpečný, protože používá legitimní systémové příkazy macOS. Žádá o systémové heslo, získává přihlašovací údaje a zakazuje bezpečnostní ochrany. Poté stáhne AMOS. Jedná se o známý nástroj ke krádeži informací s historií zaměřenou na zařízení Apple. Malware shromažďuje citlivá data, jako jsou hesla, klíče k kryptoměnovým peněženkám, data automatického vyplňování prohlížeče a uložené soubory cookie.

Výzkumníci se domnívají, že kampaň vytvořili útočníci hovořící rusky. Mezi důkazy patří komentáře v ruštině nalezené v kódu malwaru. Analytici si také všimli, že infrastruktura dodávky byla špatně sestavena. Napříč zařízeními se objevovaly nesouhlasné pokyny. Například uživatelům Linuxu se zobrazovaly příkazy pro Windows. Uživatelé Macu dostali pokyn stisknout klávesy, které existují pouze na počítačích s Windows.

ClickFix je metoda sociálního inženýrství, která si mezi kyberzločinci rychle získala popularitu mezi kyberzločinci. Spoléhá se na to, že uživatelé věří tomu, co vidí, a slepě následují jednoduché instrukce. V této kampani je cílem útočníka donutit oběť k provedení infekčního procesu sama. Jakmile uživatel postupuje podle pokynů, systém je ohrožen bez nutnosti tradičního zneužití.

Výzkumníci se domnívají, že ClickFix je aktivní nejméně od března 2024. Poprvé jsem o něm informoval v červnu 2024, kdy útočníci používali falešné chybové zprávy z Google Chrome, Microsoft Word a OneDrive k distribuci svého škodlivého kódu. Obětem se zobrazovaly výzvy nabízející „opravy“, které kopírovaly do schránky škodlivý příkaz PowerShell. Poté dostali pokyn k jeho vložení a spuštění v PowerShellu nebo prostřednictvím dialogového okna Spustit.

Do listopadu 2024 se metoda dále vyvinula. Nová vlna útoků se zaměřila na uživatele Google Meet, počínaje phishingovými e-maily, které napodobovaly interní pozvánky na schůzky. Tyto e-maily obsahovaly odkazy, které přesměrovávaly na falešné přihlašovací stránky Meet, které vypadaly, jako by pocházely od vlastní organizace oběti.

Abyste se ochránili před neustále se vyvíjející hrozbou malwaru ClickFix, který nadále cílí na uživatele pomocí sofistikovaných taktik sociálního inženýrství, zvažte implementaci těchto šesti základních bezpečnostních opatření:

1. Buďte skeptičtí k výzvám CAPTCHA: Legitimní testy CAPTCHA nikdy nevyžadují vkládání čehokoli do Terminálu. Pokud vás webová stránka k tomu vyzve, pravděpodobně se jedná o podvod. Okamžitě stránku zavřete a vyhněte se jakémukoli interakci s ní.

2. Neklikejte na odkazy z neověřených e-mailů a používejte silný antivirový software: Mnoho útoků ClickFix začíná také phishingovými e-maily, které napodobují důvěryhodné služby, jako je Booking.com nebo Google Meet. Před kliknutím na odkazy vždy ověřte odesílatele. Pokud se e-mail zdá naléhavý nebo neočekávaný, přejděte přímo na oficiální webové stránky společnosti, místo abyste klikali na odkazy v e-mailu.

Nejlepším způsobem, jak se chránit před škodlivými odkazy, které instalují malware a potenciálně získávají přístup k vašim soukromým informacím, je mít na všech vašich zařízeních nainstalovaný silný antivirový software. Tato ochrana vás může také upozornit na phishingové e-maily a ransomwareové podvody, čímž ochrání vaše osobní údaje a digitální aktiva.

3. Povolte dvoufaktorové ověřování: Pokud je to možné, povolte dvoufaktorové ověřování. To přidá další vrstvu zabezpečení tím, že vyžaduje druhou formu ověření, například kód zaslaný na váš telefon, kromě hesla.

4. Udržujte zařízení aktualizované: Pravidelné aktualizace operačního systému, prohlížeče a bezpečnostního softwaru zajišťují, že máte nejnovější opravy známých zranitelností. Kyberzločinci zneužívají zastaralé systémy, takže povolení automatických aktualizací je jednoduchý, ale účinný způsob, jak zůstat chráněni.

5. Sledujte své účty na podezřelé aktivity a měňte hesla: Pokud jste interagovali s podezřelou webovou stránkou, phishingovým e-mailem nebo falešnou přihlašovací stránkou, zkontrolujte své online účty na jakékoli neobvyklé aktivity. Hledejte neočekávané pokusy o přihlášení, neoprávněné resetování hesel nebo finanční transakce, které nepoznáváte. Pokud se něco zdá podezřelé, okamžitě změňte svá hesla a nahlaste aktivitu příslušnému poskytovateli služeb. Zvažte také použití správce hesel k generování a ukládání složitých hesel.

6. Investujte do služby pro odstraňování osobních údajů: Zvažte použití služby, která monitoruje vaše osobní informace a upozorní vás na potenciální narušení nebo neoprávněné používání vašich dat. Tyto služby mohou poskytovat včasná varování o krádeži identity nebo jiných škodlivých aktivitách vyplývajících z ClickFix nebo podobných útoků.

I zkušení uživatelé mohou být oklamáni, když je škodlivé chování maskováno jako rutina. Útok nezneužil pouze zranitelnost v macOS, ale také vaši obeznámenost s ověřovacími postupy. Dokud budou bezpečnostní pokyny vypadat jako součást obvyklé zkušenosti, lidé budou sami spouštět škodlivý kód. Uživatelé Maců, stejně jako všichni ostatní, musí k jakémukoli rozhraní, které vypadá povědomě, přistupovat s větší skepsí. Zejména když žádá o vaše heslo.