LastPass varnar för att angripare infekterar Mac-användare med skadlig kod genom falska lösenordshanterare. Dessa skadliga appar efterliknar betrodd programvara och sprids via vilseledande GitHub-repositorier. Mac-användare som installerar dem riskerar allvarlig datastöld.
Översikt av attackkampanjen
Angriparna skapar falska appar som imiterar legitim programvara och laddar upp dem i GitHub-repositorier. De marknadsför dessa kloner med SEO-trick på Google och Bing för att locka användare. När användare hamnar på dessa sidor laddar de ner programmet eller dirigeras vidare genom så kallade “ClickFix”-metoder.
I dessa ClickFix-attacker uppmanar den falska appen användaren att klistra in ett kommando i Terminalen. Kommandot hämtar en skadlig nyttolast — AMOS-malware — sparar den i /tmp via base64-kodade URL:er och installerar den.
Vad är AMOS och hur fungerar det?
AMOS (även kallad Atomic) fungerar som malware-as-a-service och kostar cirka 1 000 USD per månad. Skaparna har lagt till en bakdörr som gör att skadevaran kan behålla åtkomst även efter infektionen, ofta utan att märkas.
Angriparna använder den uthålliga åtkomsten för att få långvarig kontroll över komprometterade Macs. Det gör att de kan exfiltrera data, övervaka system och undvika upptäckt.
Falska mål och distributionstaktik
De falska lösenordshanterarna imiterar över 100 välkända program, däribland 1Password, Dropbox, Adobe After Effects, Notion och Thunderbird. GitHub-repositorierna ser legitima ut men är vilseledande.
Repositorierna innehåller en “download”-knapp som länkar vidare till en annan sida. Där uppmanas användare att köra ett Terminal-kommando. Angriparna kodar URL:en för att undvika upptäckt och använder /tmp-katalogen för att extrahera och köra skadevaran.
Hur användare kan skydda sig
För att undvika att bli drabbad bör Mac-användare endast ladda ner programvara från officiella leverantörssidor. Om en variant på GitHub dyker upp bör man kontrollera leverantörens legitimitet och läsa communityrecensioner innan installation.
Man ska aldrig köra Terminal-kommandon man inte förstår. Ett inklistrat kommando kan installera malware. Kontrollera programvarusignaturer, se till att macOS-versioner kommer från pålitliga källor och använd säkerhetsverktyg för att minska riskerna.
Slutsats
LastPass varnar: falska lösenordshanterare infekterar Macs med skadlig kod genom vilseledande SEO och GitHub-trick. Angriparna levererar AMOS-malware via ClickFix-attacker, bakdörrar och imitation. Genom att bara använda betrodda källor och undvika misstänkta kommandon kan Mac-användare skydda sig mot hotet.
0 svar till ”LastPass varnar: Falska lösenordshanterare infekterar Mac-datorer med skadlig kod”