Recent, un nou val de campanii publicitare periculoase a început să vizeze utilizatorii de Mac, utilizând reclame ce imită servicii online cunoscute pentru a răspândi un software malițios de furt de credențiale. Companii de securitate cibernetica au semnalat că ultima țintă a acestor atacuri este managerul de parole LastPass.
Sfârșitul săptămânii trecute a adus la lumină o campanie intensă identificată de LastPass, care utiliza optimizarea pentru motoarele de căutare pentru a afișa reclame pentru aplicațiile LastPass destinate MacOS. Aceste reclame erau plasate în fruntea rezultatelor căutărilor pe Google și Bing. Din nefericire, linkurile din aceste reclame redirecționau utilizatorii către site-uri GitHub frauduloase, acum închise, care promiteau instalarea LastPass pe MacBook-uri. În realitate, acestea instalau un program malițios pentru furtul de credențiale, cunoscut sub numele de Atomic Stealer sau Amos Stealer.
LastPass a explicat într-o postare pe blog că scopul acestui mesaj este de a crește gradul de conștientizare asupra acestei campanii și de a proteja clienții, în timp ce continuă eforturile de eliminare și perturbare a acesteia. De asemenea, compania a împărtășit indicatori de compromitere (IoCs) pentru a ajuta alte echipe de securitate să detecteze amenințările cibernetice.
LastPass nu este singurul brand cunoscut care a fost exploatat în astfel de reclame. Indicatorii de compromitere furnizați de LastPass includ și alte software-uri sau servicii imitate, precum 1Password, Basecamp, Dropbox, Gemini, Hootsuite, Notion, Obsidian, Robinhood, Salesloft, SentinelOne, Shopify, Thunderbird și TweetDeck. De obicei, reclamele afișează software-ul în fonturi mari și atrăgătoare. Când sunt accesate, acestea conduc la pagini GitHub ce instalează versiuni de Atomic deghizate ca software-ul oficial fals promovat.
Instalatoarele malițioase oferă uneori instalarea stealers-ului prin descărcarea unui fișier în formatul .dmg, specific Mac. După ce Apple a adăugat o detectare în Gatekeeper — protecția împotriva malware-ului integrată în macOS care blochează instalarea malware-urilor cunoscute — atacatorii au început să folosească o nouă metodă care ocolește acest sistem. Această metodă presupune masacrarea sub forma unui CAPTCHA, aparent pentru a verifica dacă utilizatorul nu este un bot, necesitând copierea unui șir de text și lipirea acestuia în fereastra terminalului Mac. De fapt, șirul de text era o comandă pentru descărcarea și instalarea .dmg-ului malițios fără intervenția Gatekeeper. Cercetătorii au avertizat despre această tehnică de ocolire a Gatekeeper-ului de cel puțin 20 de luni.
În ciuda încercărilor de a crește gradul de conștientizare despre Atomic, acesta continuă să fie folosit pe scară largă, un indiciu că rămâne eficient. Este esențial ca utilizatorii să descarce software doar din linkuri furnizate pe paginile web oficiale ale site-urilor. Dacă întâlnesc o reclamă și decid să instaleze aplicația promovată, ar trebui să deschidă un tab nou și să viziteze direct site-ul oficial, evitând să facă clic pe linkul de descărcare din reclamă.
Poll: Care este metoda cea mai sigură de descărcare a software-ului pentru a evita potențialele atacuri de tip Atomic Stealer?
Revista “Ştiinţă şi Tehnică“, cea mai cunoscută şi longevivă publicaţie de popularizare a ştiintelor din România
Leave a Reply