Поделиться
Пользователям макбуков под видом популярных программ загружают троян
Обладателям компьютеров Apple стоит с удвоенным вниманием относиться к предложениям скачать из GitHub какие-либо программы. Особенно менеджеры паролей.
LastPass предупреждает
Разработчики популярного менеджера паролей LastPass сообщили о масштабной кампании, нацеленной на пользователей macOS: под видом популярных приложений пользователям продвигается вредонос Atomic/AMOS, которое крадёт данные.
Помимо, собственно, LastPass, вредоносы могут выдавать себя за другие менеджеры паролей и не относящиеся к ним популярные программы - 1Password, Dropbox, Confluence, Robinhood, Fidelity, Notion, Gemini, Audacity, Adobe After Effects, Thunderbird и SentinelOne. Всего в «арсенале» злоумышленников - около 100 наименований.
AMOS представляет собой вредонос, предлагаемый по арендной модели («вредонос-как-услуга») по цене порядка $1000 в месяц. С недавних пор он обзавёлся функционалом бэкдора, обеспечивая злоумышленникам продолжительный скрытый доступ в скомпрометированные системы.
Злоумышленники создали большое количество мошеннических репозиториев GitHub, из которых предлагается скачать поддельные программы (многие из них - это коммерческие пакеты). Операторы кампании использовали сразу несколько аккаунтов, чтобы снизить вероятность удаления, и оптимизировали их для получения высоких позиций в результатах поиска.
В самих репозиториях располагается «кнопка скачивания», которая перенаправляет посетителей на сторонний сайт; там им предлагается скопировать некий код и вставить его в окне терминала macOS для выполнения установки.
Типичная, но срабатывающая атака
Как указывается в публикации издания Bleeping Computer, это типичная атака разновидности ClickFix, которая возможна только если жертва не до конца понимает, к чему именно приводит выполнение таких команд.
На деле же указанный код производит curl-запрос к URL-адресу, замаскированному кодировкой base64, и загружает тело вредоноса AMOS (install.sh) в каталог /tmp.
Bleeping Computer также отмечает, что атаки типа ClickFix на продукты Apple не так уж редки: в конце августа аналогичным образом распространялся инфостилер Shamos, а весной под видом сообщений от Booking.com распространялся ещё один набор инфостилеров и RAT-троянцев.
- Пользователи macOS реже сталкиваются с вредоносным ПО, чем пользователи других операционных систем, но именно благодаря этому атаки, направленные на человека, в данном контексте срабатывают эффективнее - и пользуются сравнительно высокой популярностью у злоумышленников, - говорит Александр Каушанский, генеральный директор компании «Программный Продукт». - Стоит заметить, что GitHub - это именно репозитории кода. Некоторые некоммерческие разработчики действительно позволяют скачивать готовые продукты прямиком из GitHub, но вероятность размещения там коммерческих продуктов, тем более широко известных, стремится к нулю.
Короткая ссылка
