A LastPass arra figyelmezteti a felhasználókat, hogy egy új kampány a macOS-felhasználókat célozza meg rosszindulatú szoftverekkel. Ezek a programok népszerű termékeket utánoznak, és csalárd GitHub repository-kon keresztül érhetők el.
A hamis alkalmazások az Atomic (AMOS) információlopó malware-as-a-service (MaaS) szolgáltatáson alapuló rosszindulatú programot terjesztik ClickFix támadásokon keresztül. A kampányban emellett keresőoptimalizálási (search engine optimization – SEO) taktikákat is alkalmaznak, hogy a Google és a Bing találatai között az első helyeken jelenjenek meg.
A malware fejlesztői nemrég egy backdoor komponenst is beépítettek, amely állandó, rejtett hozzáférést biztosít a támadóknak a kompromittált rendszerekhez.
A LastPass szerint a kampány nemcsak az ő termékét utánozza, hanem több mint 100 másik szoftvert is, mint például a 1Password, Dropbox, Confluence, Robinhood, Fidelity, Notion, Gemini, Audacity, Adobe After Effects, Thunderbird és SentinelOne alkalmazásokat.
A támadók nagyszámú megtévesztő GitHub repository-t hoztak létre különböző fiókokból, hogy elkerüljék az eltávolításukat, és optimalizálják azokat a keresési eredményekben való magasabb rangsorolás érdekében.
Ezek a repository-k egy „letöltés” gombot tartalmaznak, amely egy másodlagos weboldalra irányítja a látogatókat, ahol a felhasználóknak a telepítés végrehajtásához egy parancsot kell bemásolniuk a terminálba.
Ez egy tipikus „ClickFix” támadás, amely azt használja ki, hogy az áldozat nem érti pontosan, mit hajt végre a parancs. A parancs egy curl kérést indít egy base64 kódolású URL felé, majd letölt egy AMOS payload-ot (install[.]sh) a /tmp könyvtárba.
Az Apple számítógépeket célzó ClickFix támadások viszonylag gyakoriak. Annak ellenére, hogy a LastPass folyamatosan figyelemmel kíséri a kampányt, és jelenti a hamis repository-kat a GitHubnak, a támadók könnyen létrehozhatnak újakat automatizált eszközökkel és frissen regisztrált fiókokkal.
A ClickFix támadások elkerülése érdekében a felhasználóknak körültekintően kell eljárniuk:
- Soha ne futtassunk olyan parancsokat a rendszeren, amelyeket nem értünk teljes mértékben.
- Amikor szoftvert keresünk, mindig a gyártó vagy a projekt hivatalos weboldaláról töltsük le Ha ott nem érhető el macOS-verzió, akkor valószínűleg a talált változat hamis.
- Amennyiben egy macOS-portot kínálnak, győződjünk meg arról, hogy az egy megbízható, a közösség által ellenőrzött fejlesztőtől származik.
