Ένα macOS malware – Atomic Stealer malware – που ανακαλύφθηκε τον Απρίλιο έχει βρει ένα νέο διάνυσμα επίθεσης, καθώς οι άνθρωποι που αναζητούν λογισμικό στη Google πέφτουν πάνω σε malware που έχει μεταμφιεστεί σε νόμιμες διαφημίσεις.
Δείτε επίσης: Οι ειδικοί αποκαλύπτουν την phishing αυτοκρατορία W3LL
Δείτε επίσης: Instagram: Νέα δυνατότητα επιτρέπει να μοιράζεστε αναρτήσεις feed μόνο με ‘Στενούς Φίλους’
Το κακόβουλο πρόγραμμα ονομαζόμενο Atomic macOS Stealer (AMOS) εμφανίστηκε για πρώτη φορά τον Απρίλιο και πωλείται μέσω του Telegram για $1,000 ανά μήνα. Μόλις εγκατασταθεί, συλλέγει τον κωδικό πρόσβασης του χρήστη μέσω επιθετικών pop-ups και στη συνέχεια αφαιρεί ευαίσθητα δεδομένα όπως κωδικοί πρόσβασης, crypto και αρχεία.
Σύμφωνα με έκθεση από ερευνητές της Malwarebytes, το Atomic macOS Stealer παραδίδεται μέσω ενός σχήματος διαφημίσεων της Google σε ανυποψίαστους αναζητητές. Οι διαφημίσεις είναι νόμιμες και πληρωτέες, αλλά παρουσιάζονται με τη μορφή του ιστότοπου ή του λογισμικού που αναζητά ο χρήστης.
Αυτή η επίθεση εξαρτάται από την εμπιστοσύνη των χρηστών στη Google όταν κάνουν κλικ στα αποτελέσματα αναζήτησης διαφημίσεων. Εμφανίζεται στην κορυφή της σελίδας και έχει την έγκριση διαφήμισης της Google, έτσι οι χρήστες κάνουν κλικ χωρίς να ελέγχουν για ύποπτες διευθύνσεις URL ή ιδιοκτήτες domain.
Μόλις ο χρήστης κάνει κλικ στον σύνδεσμο, του παρουσιάζεται μια σελίδα που φαίνεται φυσιολογική. Οι επιτιθέμενοι δημιουργούν έναν σχεδόν τέλειο κλώνο του ιστότοπου που περιμένουν οι χρήστες, έτσι κάνουν κλικ και κατεβάζουν το λογισμικό.
Το Atomic macOS Stealer δεν χρειάζεται να περάσει από την κανονική διαδικασία εγκατάστασης μέσω του Gatekeeper, καθώς είναι μια ad-hoc υπογεγραμμένη εφαρμογή. Οι χρήστες κατευθύνονται να κάνουν δεξί κλικ και να ανοίξουν το λογισμικό από το προσαρτημένο αρχείο .dmg.
Μετά το άνοιγμα του αρχείου, εμφανίζεται επανειλημμένα ένα παραπλανητικό παράθυρο για τον κωδικό πρόσβασης του συστήματος, μέχρι ο χρήστης να υποχωρήσει και να εισάγει τον κωδικό του. Στη συνέχεια, συλλέγει όσα δεδομένα μπορεί από το Keychain, το σύστημα αρχείων και τα κρυπτονομίσματα του χρήστη και τα αποστέλλει στον χειριστή του κακόβουλου λογισμικού.
Δείτε επίσης: Hackers έκλεψαν το κλειδί υπογραφής της Microsoft από το Windows crash dump
Πώς να προστατευτείτε από το AMOS
Το Google δεν είναι αλάνθαστο εργαλείο. Παρέχει πληροφορίες με βάση τα δεδομένα του λογαριασμού και τις λέξεις-κλειδιά του χρήστη, ενώ οι κακόβουλες διαφημίσεις δεν θα παγιδεύονται πάντα κατά τον έλεγχο.
Ο νούμερο ένα κανόνας ασφαλείας του Διαδικτύου είναι η προσοχή στη διεύθυνση URL. Στο παράδειγμα που δόθηκε από το Malwarebytes, η διεύθυνση URL είναι trabingviews.com.
Οι χρήστες πρέπει να είναι προσεκτικοί κατά τη λήψη λογισμικού από τον ιστό. Το Mac App Store είναι ο ασφαλέστερος δρόμος για τους χρήστες Mac, αλλά αυτή η επιλογή δεν είναι πάντα διαθέσιμη.
Δώστε προσοχή στα αποτελέσματα της Google, στη διεύθυνση URL στην οποία μεταφέρεστε και στο ίδιο το πρόγραμμα εγκατάστασης λογισμικού. Να είστε προσεκτικοί σχετικά με τον τρόπο με τον οποίο το λογισμικό ζητά να εγκατασταθεί. Τα περισσότερα λογισμικά δεν πρέπει να ζητούν από τον χρήστη να παρακάμψει το Gatekeeper.
Ένα πιθανό red-flag είναι software που απαιτεί από τον χρήστη να ανοίξει την εφαρμογή στη θέση του, στην εικόνα του προγράμματος εγκατάστασης. Κατά γενικό κανόνα, θα πρέπει να ζητά από τον χρήστη να σύρει την εγκατεστημένη εφαρμογή στο Finder.
Επίσης, να είστε προσεκτικοί με τυχαία αιτήματα για τον κωδικό πρόσβασης του συστήματος, ειδικά μετά την εγκατάσταση νέου λογισμικού. Ελέγξτε το παράθυρο διαλόγου για ανωμαλίες στον σχεδιασμό ή typos.
Πηγή πληροφοριών: appleinsider.com
