Cyberkriminelle retter seg mot Apple-brukere gjennom en falsk CleanMyMac-nettside som sprer macOS-skadevare. Kampanjen lurer ofre til å installere ondsinnet programvare forkledd som et pålitelig systemverktøy.
Angripere opprettet en overbevisende nettside som etterligner den legitime nedlastingssiden for CleanMyMac. Mange brukere søker etter verktøyet på nettet når de ønsker å rydde opp eller optimalisere enhetene sine.
Ofre som følger instruksjonene på den falske siden, installerer uvitende skadevare i stedet for det ekte programmet. Sikkerhetsforskere advarer om at kampanjen fokuserer på å stjele sensitiv informasjon fra infiserte systemer.
Falsk nettside utgir seg for å være et populært Mac-verktøy
CleanMyMac er et velkjent vedlikeholdsverktøy som brukes av mange macOS-brukere. Programmet hjelper med å fjerne unødvendige filer og forbedre systemytelsen.
Angripere utnyttet programvarens popularitet ved å lage en nesten identisk nettside. Den falske siden etterligner designet og merkevaren til det legitime produktet.
Besøkende ser det som virker som en vanlig nedlastingsside for verktøyet. Instruksjonene oppfordrer brukere til å installere programmet manuelt.
Prosessen leverer imidlertid ikke den ekte applikasjonen. I stedet starter den en skadevareinfeksjon på offerets enhet.
Fordi nettsiden ligner sterkt på den ekte, kan mange brukere overse forskjellen.
Angrepet baserer seg på sosial manipulering
Infeksjonsmetoden er basert på sosial manipulering fremfor tekniske sårbarheter. Ofre får instruksjoner som leder dem gjennom installasjonsprosessen.
Den falske nettsiden ber brukere åpne macOS Terminal og kjøre en kommando. Kommandoen laster ned og kjører et ondsinnet skript fra en ekstern server.
Siden brukerne selv utfører kommandoen, kan innebygde sikkerhetsmekanismer mislykkes i å stoppe handlingen. Denne tilnærmingen lar angripere omgå flere macOS-beskyttelser.
Forskere påpeker at denne taktikken øker sjansen for at angrepet lykkes.
Infostealer-skadevare samler inn sensitiv data
Kampanjen distribuerer en macOS-infostealer som er utviklet for å samle inn sensitiv informasjon. Når den først er installert, begynner skadevaren å hente data fra den infiserte enheten.
Den stjålne informasjonen kan inkludere:
- lagrede nettleserpassord
- autentiseringskapsler og øktdata
- nettleserhistorikk
- informasjon om kryptovaluta-lommebøker
- økter fra meldingsplattformer
- system- og enhetsinformasjon
Angripere sender disse dataene til eksterne kommandoserverer for videre bruk.
Skadevaren kan også opprettholde vedvarende tilgang på det infiserte systemet. Dette gjør det mulig for angripere å fortsette å samhandle med enheten etter den første kompromitteringen.
Skadevaren inkluderer geografiske begrensninger
Forskere observerte at skadevaren utfører kontroller før den kjører fullt ut på en enhet. En av kontrollene ser etter et russisk tastaturoppsett på systemet.
Hvis dette tastaturoppsettet finnes, stopper skadevaren kjøringen. Denne oppførselen forekommer ofte i kampanjer knyttet til russisktalende cyberkriminelle grupper.
Slike grupper unngår ofte å infisere systemer i sine egne regioner.
Skadevaren sender også systeminformasjon og en unik identifikator til sin kommandoserver. Angripere kan bruke denne informasjonen til å spore infiserte maskiner og administrere operasjonene sine.
Konklusjon
Kampanjen med den falske CleanMyMac-nettsiden viser hvor enkelt angripere kan misbruke kjente programvaremerker. Ved å kopiere en populær verktøyside skapte cyberkriminelle en overbevisende felle for macOS-brukere.
Angrepet er basert på sosial manipulering fremfor avanserte tekniske sårbarheter. Ofre kjører uvitende kommandoer som installerer skadevare som kan stjele sensitiv informasjon.
Forskere advarer om at brukere kun bør laste ned programvare fra verifiserte kilder. Å kjøre ukjente kommandoer fra nettsider kan utsette enheter for alvorlige sikkerhetsrisikoer.
0 svar til “Falsk CleanMyMac-nettside sprer macOS-infostealer-skadevare”