LastPass advarer om at angripere infiserer Mac-brukere med skadevare gjennom falske passordadministratorer. Disse ondsinnede appene etterligner pålitelig programvare og sprer seg via villedende GitHub-repositorier. Mac-brukere som installerer dem risikerer alvorlig datatyveri.
Oversikt over angrepskampanjen
Angriperne lager falske apper som imiterer legitim programvare og laster dem opp i GitHub-repositorier. De promoterer disse klonene med SEO-triks på Google og Bing for å lokke brukere. Når brukere havner på disse sidene, laster de ned programmet eller blir videresendt gjennom såkalte “ClickFix”-metoder.
I disse ClickFix-angrepene ber den falske appen brukeren lime inn en kommando i Terminal. Kommandoen henter en ondsinnet nyttelast — AMOS-malware — lagrer den i /tmp via base64-kodede URL-er og installerer den.
Hva er AMOS og hvordan fungerer det?
AMOS (også kalt Atomic) fungerer som malware-as-a-service og koster omtrent 1 000 USD per måned. Skaperne har lagt til en bakdør som gjør at skadevaren kan beholde tilgang selv etter infeksjonen, ofte uten å bli oppdaget.
Angriperne bruker den vedvarende tilgangen til å få langvarig kontroll over kompromitterte Macs. Det gir dem mulighet til å hente ut data, overvåke systemer og unngå oppdagelse.
Falske mål og distribusjonstaktikk
De falske passordadministratorene etterligner over 100 kjente programmer, inkludert 1Password, Dropbox, Adobe After Effects, Notion og Thunderbird. GitHub-repositoriene ser legitime ut, men er villedende.
Repositoriene inneholder en “download”-knapp som leder videre til en annen side. Der blir brukere bedt om å kjøre en Terminal-kommando. Angriperne koder URL-en for å gjøre oppdagelse vanskeligere og bruker /tmp-mappen til å pakke ut og kjøre skadevaren.
Hvordan brukere kan beskytte seg
For å unngå å bli rammet bør Mac-brukere bare laste ned programvare fra offisielle leverandørnettsteder. Dersom en variant dukker opp på GitHub, bør man kontrollere leverandørens legitimitet og lese brukeranmeldelser før installasjon.
Brukere bør aldri kjøre Terminal-kommandoer de ikke forstår. En tilfeldig innlimt kommando kan installere skadevare. Kontrollér programvaresignaturer, sørg for at macOS-versjoner kommer fra pålitelige kilder, og bruk sikkerhetsverktøy for å redusere risiko.
Konklusjon
LastPass advarer: falske passordadministratorer infiserer Macs med skadevare gjennom villedende SEO og GitHub-triks. Angripere leverer AMOS-malware via ClickFix-angrep, bakdører og etterligning. Ved å bruke pålitelige kilder og unngå mistenkelige kommandoer kan Mac-brukere beskytte seg mot trusselen.
0 responses to “LastPass advarer: Falske passordadministratorer infiserer Mac-maskiner med skadevare”