Как работает новая мошенническая схема?

Эксперты по кибербезопасности, в частности из компании LastPass, зафиксировали масштабную кампанию, направленную на владельцев устройств с macOS. Злоумышленники используют методы поисковой оптимизации (SEO), чтобы продвигать вверх в выдаче Google и Bing ссылки на мошеннические репозитории на платформе GitHub. Эти страницы имитируют официальные ресурсы более ста известных программ, среди которых менеджеры паролей 1Password и LastPass, облачное хранилище Dropbox, а также сервисы Notion, Confluence, Thunderbird и многие другие, пишет 24 Канал.

Смотрите также Украинец стал одним из самых разыскиваемых в ЕС преступников: что он сделал

Пользователь, который ищет программу для своего Mac, наталкивается на такую поддельную страницу и нажимает на кнопку загрузки. Вместо файла установки его перенаправляет на другой сайт, где предлагается скопировать и вставить специальную команду в системный терминал. Эта техника известна как "ClickFix" – она рассчитана на то, что жертва не понимает, какие именно действия выполняет введенная команда.

Этот результат поиска на самом деле является поддельной страницей, которая ведет на другой сайт с вирусом
Этот результат поиска на самом деле является поддельной страницей, которая ведет на другой сайт с вирусом / Скриншот LastPass

На самом деле эта команда запускает скрытую загрузку вредоносного программного обеспечения. Через закодированную ссылку во временную директорию системы попадает вирус-похититель Atomic (также известный как AMOS). Это вредоносное ПО работает по модели "вирус как услуга", то есть киберпреступники могут арендовать его у разработчиков за ежемесячную плату, которая составляет около 1 000 долларов. Его основная цель – сбор и похищение ценной информации с инфицированного компьютера.

Эта страница имитирует LastPass
Эта страница имитирует LastPass / Скриншот LastPass

  • Вирус AMOS способен похищать пароли, хранящиеся в браузере, данные автозаполнения, файлы cookie, информацию о криптовалютных кошельках и другие системные данные.
  • Недавно разработчики добавили к нему функционал бэкдора, что предоставляет хакерам постоянный и скрытый доступ к скомпрометированной системе.

Специалисты по безопасности отмечают, что злоумышленники используют множество учетных записей на GitHub, чтобы обходить блокировки и быстро создавать новые мошеннические страницы с помощью автоматизации. Хотя такие репозитории постоянно отслеживаются и удаляются, их количество продолжает расти, пишет Bleeping Computer.

Какие программы чаще всего подделывают?

Среди выявленных сервисов, на которые целятся хакеры, есть такие:

  • ActiveCampaign.
  • AfterEffects.
  • Audacity.
  • Auphonic.
  • Basecamp.
  • BetterSnapTool.
  • Biteable.
  • Bitpanda.
  • BlueWallet.
  • Carbon Copy Cloner.
  • Citibank.
  • Confluence.
  • DaVinci Resolve.
  • DefiLlama.
  • Docker.
  • Dropbox.
  • E-TRADE.
  • EigenLayer.
  • Fidelity.
  • Fliki.
  • Gemini.
  • Hemingway.
  • HeyGen.
  • Lightstream.
  • Обсидиан.
  • Понятие.
  • Robinhood.
  • TweetDeck.
  • Zotero и десятки других.

Как избежать заражения?

  • Чтобы не стать жертвой подобной атаки, пользователям советуют загружать программное обеспечение исключительно с официальных сайтов разработчиков.
  • Если версии для macOS там нет, любые неофициальные варианты, найденные в сети, с высокой вероятностью являются поддельными и опасными.
  • Кроме того, не стоит выполнять в терминале команды из неизвестных источников, если вы не уверены в их назначении.