Atomic Stealer se širi putem lažnih ažuriranja

Atomic Stealer (poznat još kao AMOS) popularan je kradljivac podatka koji cilja Mac OS uređaje. Još u septembru je bilo riječi o tome kako ovaj zlonamjerni softver napada korisnike putem zlonamjernih oglasa,  sada u ovom slučaju to radi preko Atomic Stealer se sada isporučuje korisnicima Mac OS uređaja preko lažnog lanca ažuriranja pregledača koji se prati kao “ClearFake”.

AMOS

Atomic Stealer se širi putem lažnih ažuriranja; Source: Bing Image Creator

Ovo bi moglo biti prvi put da se jedna od glavnih kampanja društvenog inženjeringa, ranije rezervisana za Windows operativne sisteme, širi ne samo u smislu geolokacije već i operativnog sistema. Sa sve više kompromitovanih Internet stranica na raspolaganju, zlonamjerni akteri imaju mogućnost da izvrše napad na veći broj korisnika, kradući korisničke informacije za prijavu i datoteke koje poslije mogu iskoristiti za prodaju ili nove napade.

 

ATOMIC STEALER: CLEARFAKE

ClearFake  je novija kampanja zlonamjernog softvera koja koristi kompromitovane Internet lokacije za distribuciju lažnih ažuriranja pregledača. Zlonamjerni softver je prvobitno otkrio Randy McEoin u avgustu i od tada je prošao kroz brojne nadogradnje, uključujući upotrebu pametnih ugovora za izgradnju njegovog mehanizma za preusmjeravanje, što ga čini jednom od najrasprostranjenijih i najopasnijih šema društvenog inženjeringa.

U novembru je sigurnosni istraživač Ankit Anubhav primjetio je da ClearFake napada i korisnike  i Mac OS uređaja sa odgovarajućim korisnim teretom, koji je DMG datoteka koja treba da zavara korisnike da je ažuriranje za Safari ili Chrome. Jednom kada se datoteka otvori i dobiju administrativne dozvole, ona izvršava komande koje omogućavaju krađu lozinki i datoteka.

ClearFake koristi visok nivo obmane, koristeći šablone koji oponašaju zvanične Internet stranice, gdje za Safari Internet pregledač šablon veoma liči na Apple zvaničnu Internet stranicu dostupnu na različitim jezicima, a za korisnike Google Chrome Internet pregledača na Mac OS uređajima, šablon je sličan onom koji se koristi za korisnike Windows operativnog sistema, održavajući dosljedan obmanjujući izgled.

a-fake-update

Lazno Safari i Chrome azururanje; Source: Malwarebytes

 

CLEARFAKE FUNKCIONISANJE

U ovoj kampanji, zlonamjerni akteri bi prvo kompromitovali Internet lokaciju (bilo putem napada grube sile, zloupotrebe ranjivosti ili preko akreditiva za prijavu na mračnom Internetu), a zatim bi napravili iskačući oglas koji oponaša upit za ažuriranje pregledača.

Korisnici koji posjećuju ove Internet stranice treba da povjeruju da njihov pretraživač treba da se ažurira da bi mogli da vide sadržaj. Da stvar bude još gora, lažne stranice su prilično ubjedljive i prilično dobro oponašaju glavne brendove kao što su Apple ili Google. Manje oprezni korisnici se mogu lako prevariti izgledom Internet stranica i navesti da pomisle da zaista treba da ažuriraju svoj pregledač.

Čim žrtve pokrenu zlonamjerni softver, on će ukrasti podatke i odmah ih poslati na C2 servere napadača. Atomic Stealer preuzima podatke kao što su lozinke, automatska popunjavanja, korisničke informacije, kripto novčanike, kolačiće pretraživača i podatke o Apple menadžeru lozinki.

 

ZAKLJUČAK

Globalno posmatrano lažna ažuriranja Internet pregledača su uglavnom predstavljala prijetnju korisnicima Windows operativnog sistema. Međutim, popularnost kradljivca podatka poput Atomic Stealer zlonamjernog softvera učinila je prilagođavanje korisnog opterećenja različitim operativnim sistemima, uključujući MacOS, izvodljivim za zlonamjerne aktere. Ova promjena signalizira povećanje broja prijetnji za korisnike Mac uređaja, koji su možda ranije smatrali da su njihovi sistemi manje podložni takvim napadima.

 

ZAŠTITA

Zbog svega navedenog korisnici moraju biti oprezni prilikom ažuriranja Internet pregledača i ostalih Mac aplikacija, i voditi računa o sljedećem:

  • Ažuriranje Safari Internet pregledača se vrši putem menija za ažuriranje softvera koji se pronalazi klikom na Apple meni i zatim na postavke sistema.
  • Korisnici koji koriste Google Chrome na Mac uređajima, treba da znaju da se ažuriranje ovog Internet pregledača obično dešava automatski. Ako pregledač nije zatvoren duže vrijeme, korisnici mogu vidjeti upit za ažuriranje u gornjem desnom uglu otvorenog prozora, pored tri tačke koje otvaraju Chrome meni.
  • Ni u kom slučaju korisnici ne treba da preuzimaju ili instaliraju ažuriranja Internet pregledača sa Internet stranica koje tvrde da je pregledač zastario, jer kompanije Apple i Google ne isporučuju ažuriranja svojim korisnicima na ovaj način. Korisnici koji vide ovo trebalo bi da se klone i upozorenja i Internet stranice na kojoj su ga dobili, jer iza svega najvjerovatnije stoje zlonamjerni akteri.
  • Korisnici trebaju uvijek provjeriti Internet adresu pažljivo kako bi bili sigurni da odgovara legitimnoj Internet stranici.
  • Korisnici bi trebalo i da razmisle o korišćenju jednog od preporučenih Mac antivirusnih softverskih rješenja. Naravno, XProtect dolazi unaprijed instaliran na svakom Mac računaru, ali često je dobra ideja uložiti u plaćeni antivirusni softver radi dodatne zaštite.
  • Korisnici bi trebalo da redovno ažuriraju operativni sistem i aplikacije, kako bi na vrijeme ispravili sigurnosne propuste koje zlonamjerni softver može da iskoristi.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.