Złośliwe reklamy COOKIE SPIDER powodują pojawienie się nowego złośliwego oprogramowania SHAMOS na macOS

CrowdStrike informuje, że COOKIE SPIDER wykorzystuje złośliwe reklamy do rozprzestrzeniania złośliwego oprogramowania SHAMOS dla systemu macOS (nowa odmiana programu AMOS infostealer), kradnąc dane uwierzytelniające i portfele kryptowalutowe, a jego ataki obejmują ponad 300 środowisk.

Między czerwcem a sierpniem tego roku użytkownicy systemu macOS szukający rozwiązań rutynowych problemów technicznych padli ofiarą kampanii prowadzonej przez grupę cyberprzestępczą COOKIE SPIDER. Atakujący kupowali reklamy, które wyglądały na legalne strony pomocy, ale zamiast oferować rzeczywiste rozwiązania, strony te instruowały odwiedzających, aby uruchomili jednowierszowe polecenie w Terminalu. To polecenie wprowadziło do ich systemów SHAMOS, nową odmianę programu AMOS Infostealer.

Dla Twojej informacji, jednowierszowe polecenie instalacyjne to technika coraz częściej wybierana przez cyberprzestępców, ponieważ omija ona zabezpieczenia macOS Gatekeeper , umożliwiając instalację złośliwego oprogramowania bez wyświetlania ostrzeżeń. Wcześniejsze ataki złośliwego oprogramowania na urządzenia z systemem macOS, zwłaszcza te przeprowadzane za pośrednictwem Cuckoo Stealer i wcześniejszych wariantów AMOS , wykorzystywały to samo podejście.

Według badaczy ds. cyberbezpieczeństwa z CrowdStrike, którzy zidentyfikowali złośliwą kampanię reklamową COOKIE SPIDER, była to kampania na dużą skalę, której celem było ponad 300 środowisk klientów, a ofiary znajdowały się w USA, Wielkiej Brytanii, Japonii, Kanadzie, Włoszech, Meksyku, Chinach i Kolumbii.

Sukces kampanii w dużej mierze zależał od jej prostoty. Na przykład użytkownik szukający popularnej poprawki dla systemu macOS, takiej jak „macOS flush resolver cache”, został przekierowany na promowaną stronę mac-safercom , która wyglądała na wiarygodną. Strony zawierały instrukcje, które wydawały się pomocne, ale miały na celu przekonanie odwiedzających do skopiowania i uruchomienia złośliwego polecenia.

Wśród instrukcji znajdowało się polecenie, które użytkownicy musieli wkleić do terminala, który pobierał skrypt powłoki Bash. Skrypt przechwytywał hasło użytkownika, a następnie pobierał dane SHAMOS ze zdalnego serwera.

W poście na blogu CrowdStrike zaznaczono, że po uruchomieniu SHAMOS na zainfekowanym urządzeniu, system jest sprawdzany pod kątem poufnych informacji, takich jak dane pęku kluczy do Apple Notes, dane uwierzytelniające przeglądarki, a nawet portfele kryptowalut.

Następnie złośliwe oprogramowanie zapisuje wszystko w archiwum ZIP, aby je wyekstrahować. Może również pobierać dodatkowe ładunki, w tym fałszywą aplikację portfela Ledger Live i moduł botnetu, co czyni je jeszcze większym zagrożeniem dla cyberbezpieczeństwa niż dotychczas.

Metoda dystrybucji SHAMOS była równie ważna, co samo złośliwe oprogramowanie. Wykorzystanie złośliwych reklam zapewniło im stały napływ niczego niepodejrzewających ofiar. W niektórych przypadkach reklamy wydawały się być powiązane z legalnymi firmami, takimi jak australijski sklep z elektroniką, co sugerowało, że przestępcy podszywali się pod ich tożsamość, aby zyskać wiarygodność.

Ta taktyka pozwalała fałszywym domenom pomocy, takim jak mac-safercom i rescue-maccom sprawiać wrażenie wystarczająco godnych zaufania, aby użytkownicy mogli postępować zgodnie z ich instrukcjami. CrowdStrike zaobserwował również dowody na to, że złośliwe oprogramowanie umieszczało plik z listą złośliwych właściwości (plist) w katalogu LaunchDaemons użytkownika. Używał również wielokrotnie poleceń curl, które sugerowały aktywność botnetu.

Poza złośliwymi reklamami, badacze zauważyli, że złośliwe oprogramowanie wykorzystywało również GitHub do ujawniania informacji, w tym fałszywe repozytoria podszywające się pod legalne projekty oprogramowania, aby nakłonić użytkowników do wykonania złośliwych poleceń. Jednym z przykładów było fałszywe repozytorium iTerm2 z niemal identycznymi instrukcjami pobierania SHAMOS.

„Ta kampania jest sprytna. Aktorzy zagrożeń celują w mniej technicznych użytkowników, profilowanych poprzez wyszukiwanie pomocy w rozwiązywaniu podstawowych problemów i udzielają im wskazówek krok po kroku, jak zainstalować złośliwe oprogramowanie” – zauważył Trey Ford , dyrektor ds. strategii i zaufania w Bugcrowd, platformie cyberbezpieczeństwa opartej na crowdsourcingu z siedzibą w San Francisco w Kalifornii.

„Ten rodzaj ataku jest prawdopodobnie skuteczny w segmencie małych i średnich firm (SMB) oraz użytkowników domowych. Spodziewałbym się, że przedsiębiorstwa, takie jak te korzystające z oferty CrowdStrike, miałyby zablokowane tego typu złośliwe instalacje za pośrednictwem oprogramowania do zarządzania kontami uprzywilejowanymi (PAM)” – powiedział.

Ta kampania pokazuje, że urządzenia z systemem macOS nie są bezpieczne przed atakami złośliwego oprogramowania. Dlatego korzystaj z wyszukiwarek, ale klikaj w ich wyniki na własne ryzyko. Najpewniejszym sposobem sprawdzenia, czy link jest złośliwy, jest użycie zaufanego rozszerzenia antywirusowego do przeglądarki, które skanuje adresy URL przed ich otwarciem, lub przeskanowanie witryny za pomocą VirusTotal przed jej odwiedzeniem.