Et nyt macOS ClickFix-angreb retter sig mod Apple-brugere med en diskret metode til levering af malware. Teknikken monterer i det skjulte skadelige diskimage-filer og installerer en informationsstjælende nyttelast. Sikkerhedsforskere advarer om, at kampagnen benytter social engineering frem for softwareudnyttelser, hvilket gør brugernes opmærksomhed til et afgørende forsvar.
Angrebet distribuerer Atomic macOS Stealer (AMOS), en af de mest aktive familier af informationsstjælende malware, der rammer Apple-enheder. Når den er installeret, kan malwaren indsamle loginoplysninger, data fra kryptovaluta-wallets, personlige filer og andre følsomme oplysninger.
Angrebet bruger Terminal-kommandoer til at montere skadelige DMG-filer
Forskere opdagede, at kampagnen bygger på ClickFix-teknikken inden for social engineering. Ofrene bliver narret til at køre kommandoer i Terminal efter at være blevet præsenteret for falske verificeringsanmodninger eller fejlsøgningsinstruktioner. I modsætning til traditionelle malware-downloads får angrebet brugeren til selv at starte infektionen.
Når kommandoen køres, downloader scriptet i det skjulte en skadelig DMG-fil, monterer den i baggrunden og starter malwaren uden yderligere brugerinteraktion. Denne metode hjælper angriberne med at undgå visse sikkerhedsadvarsler, som ellers kunne vække mistanke.
Teknikken repræsenterer endnu en udvikling af ClickFix-kampagner, som fortsætter med at tilpasse sig i takt med, at sikkerhedsleverandører indfører nye beskyttelsesforanstaltninger.
Atomic Stealer er den endelige nyttelast
Angriberne bruger kampagnen til at distribuere Atomic macOS Stealer, ofte kaldet AMOS. Malwaren er specialiseret i at indsamle følsomme oplysninger, der er gemt på Apple-enheder.
Forskere oplyser, at malwaren kan indsamle:
- Brugernavne og adgangskoder fra browsere
- Oplysninger fra kryptovaluta-wallets
- Data fra Apple Keychain
- Indhold fra beskedapplikationer
- Dokumenter og andre lagrede filer
I nogle tilfælde kan malwaren også erstatte legitime kryptovalutaprogrammer med manipulerede versioner, der er designet til at stjæle digitale aktiver.
Da kryptovaluta-wallets ofte indeholder betydelige økonomiske værdier, forbliver macOS-brugere, der handler med kryptovaluta, et attraktivt mål for denne type kampagner.
ClickFix fortsætter med at udvikle sig på macOS
ClickFix-angreb blev oprindeligt populære på Windows-systemer. I løbet af det seneste år har trusselsaktører dog i stigende grad tilpasset teknikken til Apple-enheder. Forskere har observeret flere macOS-fokuserede kampagner, som bruger falske hjælpeværktøjer, fejlsøgningsvejledninger, AI-relateret software og teknisk supportindhold som lokkemiddel.
Sikkerhedsleverandører har også dokumenteret flere nyere varianter. Nogle kampagner har misbrugt Script Editor i stedet for Terminal, mens andre har anvendt falske Apple-lignende supportsider, der opfordrer brugerne til at udføre skadelige handlinger.
Den seneste kampagne viser, at angriberne fortsætter med at forfine deres metoder for at omgå nye sikkerhedsforanstaltninger og reducere synlige advarselstegn.
Apple har indført nye forsvarsmekanismer
Apple har for nylig indført sikkerhedsfunktioner, som skal gøre ClickFix-angreb mindre effektive. Nyere versioner af macOS viser advarsler, når brugere forsøger at indsætte potentielt farlige kommandoer i Terminal. Funktionen skal advare brugerne, før de uforvarende udfører skadelige instruktioner.
Forskerne bemærker dog, at angriberne konstant tilpasser deres metoder. Nogle nyere kampagner har allerede taget alternative teknikker i brug, som undgår direkte interaktion med Terminal.
Derfor kan tekniske sikkerhedsforanstaltninger alene ikke nødvendigvis stoppe alle angreb.
Konklusion
macOS ClickFix-angrebet viser, at social engineering fortsat er en af de mest effektive metoder til at sprede malware. Ved at overbevise brugere om at udføre tilsyneladende harmløse kommandoer kan angribere i det skjulte downloade og starte Atomic Stealer uden at udnytte softwaresårbarheder. Efterhånden som ClickFix-kampagner fortsætter med at udvikle sig, bør Mac-brugere være forsigtige med fejlsøgningsinstruktioner fra internettet og undgå at køre Terminal-kommandoer fra upålidelige kilder.
0 svar til “macOS ClickFix-angreb bruger DMG-filer til at spre infostealer-malware”