Více než 2800 webů šířilo malware AMOS

Ransomwarové gangy se dříve spoléhaly na infikované přílohy e-mailů a falešné faktury, ale bezpečnostní opatření a zabezpečené e-mailové brány tyto taktiky oslabily. Útočníci se nyní zaměřují na rafinovanější trik, který využívá nenápadné zaškrtávací políčko „Nejsem robot“, na které většina lidí klikne bez přemýšlení.

Rozsáhlá kampaň známá jako MacReaper ohrozila více než 2800 legitimních webů a přesměrovává návštěvníky na infekční proces navržený speciálně pro počítače Apple. Operace se spoléhá na vizuální signály důvěry, včetně přesvědčivé imitace Google reCAPTCHA, a skrytého kódu schránky, který končí instalací malwaru Atomic macOS Stealer (AMOS), nástroje pro sbírání informací distribuovaného přes Telegram.

Když uživatel Mac navštíví jeden z kompromitovaných webů, neuvidí očekávanou stránku. Místo toho se zobrazí celoobrazovková imitace známého políčka Google reCAPTCHA.

Tento falešný reCAPTCHA vypadá neškodně, pouze žádá uživatele, aby klikl na „Nejsem robot“. Po kliknutí je však skrytý příkaz tiše zkopírován do schránky. Okamžitě poté se zobrazí přátelská zpráva s vizuálními prvky známých klávesových zkratek macOS, která výslovně instruuje uživatele, aby otevřel Terminál a vložil to, co právě zkopíroval. Pokud uživatel následuje tyto instrukce, příkaz stáhne a spustí škodlivý soubor známý jako Atomic macOS Stealer (AMOS).

Tento trik je zaměřený specificky na uživatele Maců. Web kontroluje operační systém návštěvníka a aktivuje útok pouze v případě zjištění macOS. Pro uživatele Windows nebo Linuxu se web chová normálně. Výzkumníci tuto infekční metodu nazvali „ClickFix“, s odkazem na jediné kliknutí, které iniciuje útočný řetězec.

V centru této kampaně je AMOS, sofistikovaný malware, který se stal notoricky známým v kyberkriminálních kruzích. AMOS je k pronájmu na Telegramu, přičemž některé verze stojí útočníky až 3000 dolarů měsíčně. Po instalaci může AMOS ukrást širokou škálu citlivých dat: může extrahovat hesla Wi-Fi a aplikací uložená v Keychain, shromažďovat cookies prohlížeče a data automatického vyplňování, vypsat systémové informace a prohledávat osobní složky, jako je Plocha a Dokumenty. Je také schopen identifikovat a cílit na více než 50 typů kryptoměnových peněženek.

Několik zpráv o kybernetické bezpečnosti identifikovalo specifické domény zapojené do útočné infrastruktury. Zejména domény jako technavix.cloud a salorttactical.top byly označeny jako součást škodlivé sítě distribuující AMOS. První objevení kampaně vedlo k kompromitované brazilské zpravodajské stránce agencia2.jornalfloripa.com.br, která sloužila jako raný infekční vektor, než se operace rozšířila na více než 2800 legitimních webů po celém světě.

MacReaper zpochybňuje dvě obecně rozšířené přesvědčení. První je, že každodenní kontroly CAPTCHA jsou jen neškodné překážky. Druhé je, že macOS poskytuje úroveň vestavěné bezpečnosti, která většinu útočníků drží na uzdě. Ve skutečnosti může jediné kliknutí odhalit přihlašovací údaje Keychain, aktivní relace prohlížeče a kryptoměnové peněženky.

To jsou přesně ty cíle, které přitahují skupiny pro credential stuffing a ziskové kyberzločince. Protože útok je iniciován uživatelem, mnoho nástrojů pro monitorování sítě vnímá provoz jako normální, takže bezpečnostní týmy mají málo co vyšetřovat. V prostředích, kde počítače Mac a Windows sdílejí identifikační systémy, může jeden kompromitovaný Mac otevřít přístup k portálům pro jednotné přihlašování, cloudovému úložišti a dokonce i produkčním kódovým základnám.

Abyste se chránili před rostoucí hrozbou útoku MacReaper, který nadále cílí na uživatele pomocí sofistikovaných taktik sociálního inženýrství, zvažte implementaci těchto šesti základních bezpečnostních opatření:

1) Buďte skeptičtí k výzvám CAPTCHA: Legitimní testy CAPTCHA nikdy nevyžadují kopírování příkazů nebo vkládání čehokoli do Terminálu. Pokud vám web nařídí, abyste tak učinili, je to pravděpodobně podvod. Okamžitě zavřete stránku a vyhněte se interakci s ní.

2) Neklikejte na odkazy z neověřených e-mailů a používejte silný antivirový software: Mnoho útoků MacReaper začíná phishingem, který napodobuje důvěryhodné služby. Před kliknutím na odkazy vždy ověřte odesílatele. Pokud se e-mail zdá naléhavý nebo neočekávaný, přejděte přímo na oficiální webové stránky společnosti, místo aby klikali na odkazy v e-mailu.

Nejlepším způsobem, jak se chránit před škodlivými odkazy, které instalují malware a potenciálně získají přístup k vašim soukromým informacím, je instalace silného antivirového softwaru na všech vašich zařízeních. Tato ochrana vás může také upozornit na phishingované e-maily a ransomware, a ochrání vaše osobní údaje a digitální aktiva.

3) Povolte dvoufaktorové ověřování: Povolte dvoufaktorové ověřování, kdykoli je to možné. To přidá další vrstvu zabezpečení vyžadováním druhé formy ověření, například kódu odeslaného do vašeho telefonu, kromě hesla.

4) Udržujte zařízení aktualizované: Pravidelné aktualizace operačního systému, prohlížeče a bezpečnostního softwaru zajišťují, že máte nejnovější opravy známých zranitelností. Kyberzločinci zneužívají zastaralé systémy, takže povolení automatických aktualizací je jednoduchý, ale efektivní způsob, jak zůstat chráněni.

5) Sledujte své účty na podezřelé aktivity a měňte hesla: Pokud jste interagovali s podezřelým webem, phishingem nebo falešnou přihlašovací stránkou, zkontrolujte své online účty na neobvyklé aktivity. Hledejte neočekávané pokusy o přihlášení, neoprávněné resety hesel nebo finanční transakce, které nepoznáváte. Pokud se něco zdá podezřelé, okamžitě změňte hesla a nahlaste aktivitu příslušnému poskytovateli služeb. Zvažte také použití správce hesel pro generování a ukládání komplexních hesel.

6) Investujte do služby pro odstraňování osobních údajů: Zvažte použití služby, která monitoruje vaše osobní údaje a upozorňuje vás na potenciální narušení nebo neoprávněné použití vašich dat. Tyto služby mohou poskytovat včasná varování před krádeží identity nebo jinými škodlivými aktivitami vyplývajícími z MacReaper nebo podobných útoků. Ačkoli žádná služba neslibuje odstranění všech vašich dat z internetu, služba pro odstraňování dat je skvělá, pokud chcete neustále monitorovat a automatizovat proces odstraňování vašich informací ze stovek webů průběžně po delší dobu.

MacReaper jasně ukazuje, že nejodolnější exploity nejsou zero-day, ale vypůjčené momenty důvěry, autenticky vypadající CAPTCHA, užitečně znějící řešení, schránka, která dělá, co jí je řečeno. Jak Apple utahuje technické šrouby s Rapid Security Responses a ověřováním, očekávejte, že protivníci zdvojnásobí sázení na takové psychologické páky. Protistranou je vštípit do uživatelského chování zdravou skepsi a vybavit Macy stejnými vrstvami telemetrie, jaké podniky již očekávají od Windows. Bezpečnost se jinými slovy konečně stala platformě nezávislým svalem a sebeuspokojení je nejrizikovějším operačním systémem ze všech.