Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Cập nhật trình duyệt giả mạo nhắm mục tiêu vào hệ thống Mac bằng Infostealer

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 131

Một chiến dịch lừa đảo xã hội phổ biến rộng rãi trước đây chỉ nhắm mục tiêu vào các hệ thống Windows đã mở rộng và hiện đang sử dụng các bản cập nhật trình duyệt giả mạo để phân phối Atomic Stealer, một công cụ đánh cắp thông tin nguy hiểm, cho các hệ thống macOS.

Các chuyên gia cho biết đây có thể là lần đầu tiên họ quan sát thấy một vụ lừa đảo kỹ thuật xã hội nổi trội trước đây nhắm cụ thể vào việc Windows chuyển sang macOS.

Phần mềm độc hại, còn được gọi là AMOS, đã xuất hiện vào đầu năm nay trên kênh Telegram chuyên dụng. Tội phạm, những người có thể thuê phần mềm độc hại trên cơ sở đăng ký với giá khoảng 1,000 USD một tháng, đã sử dụng nhiều phương tiện khác nhau để phát tán phần mềm độc hại kể từ đó. Chiến thuật phổ biến nhất là phân phối phần mềm độc hại thông qua trình cài đặt cho các ứng dụng phổ biến hoặc thông qua các phiên bản Microsoft Office bị bẻ khóa có mục đích và các ứng dụng được sử dụng rộng rãi khác.

Chiến dịch ClearFake

Tuần này, các nhà nghiên cứu từ Malwarebytes báo cáo quan sát một kẻ đe dọa phân phối Atomic Stealer thông qua hàng trăm trang web bị xâm nhập cung cấp các bản cập nhật giả mạo cho trình duyệt Chrome và Safari. Một nhà nghiên cứu bảo mật khác, Randy McEoin, phát hiện đầu tiên các trang web bị xâm nhập vào tháng XNUMX và đặt tên cho phần mềm độc hại tạo ra các bản cập nhật trình duyệt giả mạo là “ClearFake”.

Vào thời điểm đó, McEoin mô tả ClearFake là phần mềm độc hại ban đầu tải trang bình thường khi người dùng truy cập trang web bị xâm nhập, nhưng sau đó thay thế trang đó bằng một trang nhắc người dùng cập nhật trình duyệt của họ. Nhà nghiên cứu bảo mật lưu ý rằng những người dùng Mac phản hồi lời nhắc sẽ tải xuống Atomic Stealer trên hệ thống của họ.

Nhà nghiên cứu Jerome Segura của Malwarebytes cho biết trong một blog tuần này: “Đây rất có thể là lần đầu tiên chúng tôi thấy một trong những chiến dịch kỹ thuật xã hội chính, trước đây dành riêng cho Windows, không chỉ phân nhánh về mặt định vị địa lý mà còn cả hệ điều hành”.

Theo Segura, mẫu Safari mà một trang web bị xâm phạm ClearFake cung cấp giống hệt với mẫu trên trang web chính thức của Apple và có sẵn bằng nhiều ngôn ngữ. Segura cho biết cũng có một mẫu dành cho người dùng Google Chrome dành cho máy Mac rất giống với mẫu dành cho người dùng Windows.

Tải trọng dành cho người dùng Mac là tệp hình ảnh đĩa (DMG) giả mạo dưới dạng bản cập nhật trình duyệt kèm theo hướng dẫn cho người dùng về cách mở tệp. Nếu được mở, tệp sẽ ngay lập tức nhắc nhập mật khẩu quản trị viên và sau đó chạy các lệnh đánh cắp dữ liệu khỏi hệ thống. Các nhà nghiên cứu của Malwarebytes đã quan sát thấy các lệnh đánh cắp mật khẩu và lấy các tệp khác nhau từ hệ thống bị xâm nhập và chuyển chúng đến máy chủ ra lệnh và kiểm soát từ xa.

'Một cú đập và tóm lấy'

SentinelOne, đang theo dõi phần mềm độc hại, đã mô tả Atomic Stealer có khả năng đánh cắp mật khẩu tài khoản, dữ liệu trình duyệt, cookie phiên và ví tiền điện tử. Nhà cung cấp bảo mật này cho biết đã có tới 300 người đăng ký Atomic Stealer trên kênh Telegram của tác giả vào tháng 2023 năm XNUMX. Phân tích về phần mềm độc hại cho thấy có ít nhất hai phiên bản Atomic Stealer, một trong số đó bị ẩn trong trình cài đặt trò chơi. SentinelOne phát hiện ra rằng phiên bản phần mềm độc hại dường như được thiết kế đặc biệt để đánh cắp thông tin từ các game thủ và người dùng tiền điện tử.

Một hành vi của Atomic Stealer mà SentinelOne nêu bật trong báo cáo của mình là phần mềm độc hại không cố gắng duy trì sự tồn tại trên máy bị xâm nhập. Thay vào đó, phần mềm độc hại dường như dựa vào những gì SentinelOne mô tả là “phương pháp đập và lấy một lần” thông qua việc giả mạo AppleScript.

Segura lưu ý: “Cập nhật trình duyệt giả mạo đã là chủ đề phổ biến đối với người dùng Windows trong nhiều năm”. Tuy nhiên, cho đến chiến dịch ClearFake, các tác nhân đe dọa vẫn chưa sử dụng vectơ để phát tán phần mềm độc hại trên macOS. Ông nói: “Sự phổ biến của những kẻ đánh cắp như AMOS khiến việc điều chỉnh tải trọng cho các nạn nhân khác nhau trở nên khá dễ dàng chỉ với những điều chỉnh nhỏ”.

Phần mềm độc hại và chiến dịch mới chỉ là biểu hiện mới nhất của những gì một số người đã báo cáo là mối đe dọa lớn hơn đối với hệ thống macOS. Vào tháng XNUMX, Accenture đã báo cáo một 1,000% tăng Accenture nhận thấy trong số các tác nhân đe dọa nhắm mục tiêu vào hệ điều hành kể từ năm 2019. Trong số đó có một kẻ đã đưa ra mức giá lên tới 1 triệu USD cho một lần khai thác macOS đang hoạt động. “Điều đáng lo ngại là sự xuất hiện của các tác nhân đã thành danh với danh tiếng tích cực và ngân sách lớn đang tìm kiếm các cách khai thác cũng như các phương pháp khác có thể cho phép họ vượt qua các chức năng bảo mật của macOS”, Accenture cho biết.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.