Malvertising van COOKIE SPIDER brengt nieuwe SHAMOS macOS-malware uit

CrowdStrike meldt dat COOKIE SPIDER malvertising gebruikt om SHAMOS macOS-malware (een nieuwe variant van de AMOS-infostealer) te verspreiden. Daarbij worden inloggegevens en cryptowallets gestolen en worden meer dan 300 omgevingen aangevallen.

Tussen juni en augustus van dit jaar werden macOS-gebruikers die op zoek waren naar oplossingen voor routinematige technische problemen het doelwit van een campagne van de cybercrimegroep COOKIE SPIDER. De aanvallers kochten advertenties die leken op legitieme helpsites, maar in plaats van echte oplossingen aan te bieden, instrueerden deze sites bezoekers om een ​​opdracht van één regel in Terminal uit te voeren. Die opdracht installeerde SHAMOS, een nieuwe variant van de AMOS- infostealer, op hun systemen.

Ter informatie: een installatiecommando met één regel is een techniek die cybercriminelen steeds vaker verkiezen, omdat het de beveiligingscontroles van macOS Gatekeeper omzeilt, waardoor de malware kan worden geïnstalleerd zonder waarschuwingen te activeren. Eerdere malware-aanvallen op macOS-apparaten, met name die uitgevoerd via Cuckoo Stealer en eerdere AMOS-varianten , gebruikten dezelfde aanpak.

Volgens cybersecurity-onderzoekers van CrowdStrike, die de malvertisingcampagne van COOKIE SPIDER identificeerden, ging het om een ​​grootschalige campagne die gericht was op meer dan 300 klantomgevingen. De slachtoffers bevonden zich in de VS, het VK, Japan, Canada, Italië, Mexico, China en Colombia.

Het succes van de campagne hing grotendeels af van eenvoud. Zo werd een gebruiker die zocht naar een veelvoorkomende macOS-oplossing, zoals "macOS flush resolver cache", naar een gepromote site geleid, mac-safercom , die er legitiem uitzag. De pagina's bevatten instructies die nuttig leken, maar die bedoeld waren om bezoekers te overtuigen een kwaadaardige opdracht te kopiëren en uit te voeren.

Een van de instructies was een opdracht die gebruikers in Terminal moesten plakken, waarna een Bash-script werd gedownload. Het script legde het wachtwoord van de gebruiker vast en haalde vervolgens de SHAMOS-payload op van een externe server.

In de blogpost van CrowdStrike staat dat SHAMOS, zodra het op een geïnfecteerd apparaat draait, systemen controleert op gevoelige informatie, zoals Keychain-gegevens voor Apple Notes, browserreferenties en zelfs cryptocurrency-wallets.

De malware slaat vervolgens alles op in een ZIP-archief voor exfiltratie. Het kan ook extra payloads downloaden, waaronder een nep-Ledger Live-wallet-app en een botnetmodule, waardoor het een nog grotere cyberdreiging wordt dan het al is.

De manier waarop SHAMOS werd verspreid, was net zo belangrijk als de malware zelf. Door malvertising te gebruiken, kregen ze een gestage stroom nietsvermoedende slachtoffers. In sommige gevallen leken de advertenties te linken aan legitieme bedrijven, zoals een elektronicawinkel in Australië, wat erop wees dat de criminelen de identiteit van bedrijven vervalsten om geloofwaardigheid te verwerven.

Deze tactiek zorgde ervoor dat neppe helpdomeinen zoals mac-safercom en rescue-maccom betrouwbaar genoeg leken, zodat gebruikers hun instructies konden volgen. CrowdStrike zag ook bewijs dat de malware een kwaadaardige property list (plist) in de LaunchDaemons- directory van de gebruiker plaatste. Ook werden herhaaldelijk curl-opdrachten gebruikt die wezen op botnetactiviteit.

Naast malvertising merkten onderzoekers op dat de malware ook GitHub misbruikte om zichzelf bloot te stellen, waaronder neprepositories die zich voordeden als legitieme softwareprojecten om gebruikers te misleiden tot het uitvoeren van kwaadaardige opdrachten. Een voorbeeld hiervan was een neprepository van iTerm2 met vrijwel identieke instructies voor het downloaden van SHAMOS.

"Deze campagne is slim. Criminelen richten zich op minder technische gebruikers, profileren zich via zoekopdrachten naar hulp bij basisproblemen en bieden hen stapsgewijze instructies voor het installeren van hun malware", aldus Trey Ford , Chief Strategy and Trust Officer bij Bugcrowd, een in San Francisco, Californië gevestigd crowdsourced cybersecurityplatform.

"Dit soort aanvallen is waarschijnlijk effectief tegen het MKB en thuisgebruikers. Ik verwacht dat bedrijven, die CrowdStrike-diensten gebruiken, dergelijke kwaadaardige installaties blokkeren via hun Privilege Account Management (PAM)-software", aldus hij.

Deze campagne toont aan dat macOS-apparaten niet veilig zijn voor malware-aanvallen. Gebruik daarom zoekmachines, maar klik op de resultaten op eigen risico. De meest betrouwbare manier om te controleren of een link schadelijk is, is door een vertrouwde antivirusbrowserextensie te gebruiken die URL's scant voordat u ze opent, of door de site te scannen met VirusTotal voordat u deze bezoekt.