Масштабна хакерська кампанія підробляє найвідоміші додатки, сервіси та навіть менеджери паролів

Як працює нова шахрайська схема?

Експерти з кібербезпеки, зокрема з компанії LastPass, зафіксували масштабну кампанію, спрямовану на власників пристроїв з macOS. Зловмисники використовують методи пошукової оптимізації (SEO), щоб просувати вгору у видачі Google та Bing посилання на шахрайські репозиторії на платформі GitHub. Ці сторінки імітують офіційні ресурси понад ста відомих програм, серед яких менеджери паролів 1Password та LastPass, хмарне сховище Dropbox, а також сервіси Notion, Confluence, Thunderbird та багато інших, пише 24 Канал.

Користувач, який шукає програму для свого Mac, натрапляє на таку підроблену сторінку і натискає на кнопку завантаження. Замість файлу інсталяції його перенаправляє на інший сайт, де пропонується скопіювати та вставити спеціальну команду в системний термінал. Ця техніка відома як "ClickFix" – вона розрахована на те, що жертва не розуміє, які саме дії виконує введена команда.

Цей результат пошуку насправді є підробленою сторінкою, яка веде на інший сайт з вірусом / Скриншот LastPass

Насправді ця команда запускає приховане завантаження шкідливого програмного забезпечення. Через закодоване посилання в тимчасову директорію системи потрапляє вірус-викрадач Atomic (також відомий як AMOS). Це шкідливе ПЗ працює за моделлю "вірус як послуга", тобто кіберзлочинці можуть орендувати його в розробників за щомісячну плату, яка становить близько 1 000 доларів. Його основна мета – збір та викрадення цінної інформації з інфікованого комп'ютера.

Ця сторінка імітує LastPass / Скриншот LastPass

• Вірус AMOS здатен викрадати паролі, що зберігаються в браузері, дані автозаповнення, файли cookie, інформацію про криптовалютні гаманці та інші системні дані.
• Нещодавно розробники додали до нього функціонал бекдора, що надає хакерам постійний та прихований доступ до скомпрометованої системи.

Фахівці з безпеки зазначають, що зловмисники використовують безліч облікових записів на GitHub, щоб обходити блокування та швидко створювати нові шахрайські сторінки за допомогою автоматизації. Хоча такі репозиторії постійно відстежуються та видаляються, їхня кількість продовжує зростати, пише Bleeping Computer.

Які програми найчастіше підробляють?

Серед виявлених сервісів, на які ціляться хакери, є такі:

• ActiveCampaign.
• AfterEffects.
• Audacity.
• Auphonic.
• Basecamp.
• BetterSnapTool.
• Biteable.
• Bitpanda.
• BlueWallet.
• Carbon Copy Cloner.
• Citibank.
• Confluence.
• DaVinci Resolve.
• DefiLlama.
• Docker.
• Dropbox.
• E-TRADE.
• EigenLayer.
• Fidelity.
• Fliki.
• Gemini.
• Hemingway.
• HeyGen.
• Lightstream.
• Obsidian.
• Notion.
• Robinhood.
• TweetDeck.
• Zotero та десятки інших.

Як уникнути зараження?

• Щоб не стати жертвою подібної атаки, користувачам радять завантажувати програмне забезпечення виключно з офіційних сайтів розробників.
• Якщо версії для macOS там немає, будь-які неофіційні варіанти, знайдені в мережі, з високою ймовірністю є підробленими та небезпечними.
• Крім того, не варто виконувати в терміналі команди з невідомих джерел, якщо ви не впевнені у їхньому призначенні.