Cyberkriminella riktar sig mot Apple-användare genom en falsk CleanMyMac-webbplats som sprider macOS-skadlig kod. Kampanjen lurar offer att installera skadlig programvara som utger sig för att vara ett betrott systemverktyg.
Angripare skapade en övertygande webbplats som imiterar den legitima nedladdningssidan för CleanMyMac. Många användare söker efter verktyget online när de vill rensa eller optimera sina enheter.
Offer som följer instruktionerna på den falska sidan installerar omedvetet skadlig kod i stället för det riktiga programmet. Säkerhetsforskare varnar för att kampanjen fokuserar på att stjäla känslig information från infekterade system.
Falsk webbplats utger sig för att vara ett populärt Mac-verktyg
CleanMyMac är ett välkänt underhållsverktyg som används av många macOS-användare. Programmet hjälper till att ta bort onödiga filer och förbättra systemets prestanda.
Angripare utnyttjade programmets popularitet genom att skapa en nästan identisk webbplats. Den falska sidan efterliknar designen och varumärket från den legitima produkten.
Besökare möts av vad som verkar vara en vanlig nedladdningssida för verktyget. Instruktionerna uppmanar användare att installera programmet manuellt.
Processen levererar dock inte den riktiga applikationen. I stället startar den en skadlig infektion på offrets enhet.
Eftersom webbplatsen starkt liknar den riktiga kan många användare missa skillnaden.
Attacken bygger på social ingenjörskonst
Infektionsmetoden bygger på social ingenjörskonst snarare än tekniska sårbarheter. Offer får instruktioner som leder dem genom installationsprocessen.
Den falska sidan instruerar användare att öppna macOS Terminal och köra ett kommando. Kommandot laddar ner och kör ett skadligt skript från en extern server.
Eftersom användaren själv kör kommandot kan inbyggda säkerhetsskydd misslyckas med att stoppa aktiviteten. Metoden gör det möjligt för angripare att kringgå flera macOS-skydd.
Forskare påpekar att denna taktik ökar attackens framgångsgrad.
Infostealer-skadlig kod samlar in känslig data
Kampanjen sprider en macOS-infostealer som är utformad för att samla in känslig information. När den väl installerats börjar skadlig kod samla data från den infekterade enheten.
Den stulna informationen kan omfatta:
- sparade webbläsarlösenord
- autentiseringscookies och sessionsdata
- webbhistorik
- uppgifter om kryptovalutaplånböcker
- sessioner från meddelandeplattformar
- system- och enhetsinformation
Angripare skickar dessa uppgifter till externa kommandoservrar för vidare användning.
Skadlig kod kan också upprätthålla persistens på det infekterade systemet. Detta gör att angripare kan fortsätta interagera med enheten även efter den första komprometteringen.
Skadlig kod innehåller geografiska skydd
Forskare observerade att skadlig kod utför kontroller innan den körs fullt ut på en enhet. En kontroll söker efter en rysk tangentbordslayout i systemet.
Om den layouten upptäcks avslutar skadlig kod sin körning. Detta beteende förekommer ofta i kampanjer kopplade till ryskspråkiga cyberkriminella grupper.
Sådana grupper undviker ofta att infektera system i sina egna regioner.
Skadlig kod skickar också systeminformation och en unik identifierare till sin kommandoserver. Angripare kan använda denna information för att spåra infekterade enheter och hantera sina operationer.
Slutsats
Kampanjen med den falska CleanMyMac-webbplatsen visar hur enkelt angripare kan utnyttja betrodda programvarumärken. Genom att kopiera en populär verktygssida skapade cyberkriminella en övertygande fälla för macOS-användare.
Attacken bygger på social ingenjörskonst snarare än avancerade tekniska sårbarheter. Offer kör omedvetet kommandon som installerar skadlig kod som kan stjäla känslig information.
Forskare varnar för att användare endast bör ladda ner programvara från verifierade källor. Att köra okända kommandon från webbplatser kan utsätta enheter för allvarliga säkerhetsrisker.
0 svar till ”Falsk CleanMyMac-webbplats sprider macOS-infostealer-skadlig kod”