Tin tặc nhắm mục tiêu vào người dùng macOS bằng quảng cáo độc hại phát tán mã độc
Tin tặc nhắm mục tiêu vào người dùng macOS bằng quảng cáo độc hại phát tán mã độc
Các quảng cáo độc hại và các trang web giả mạo đang hoạt động như một đường dẫn để phát tán hai phần mềm độc hại đánh cắp khác nhau, bao gồm Atomic Stealer, nhắm mục tiêu vào người dùng macOS của Apple.
Các chuyên gia bảo mật cho biết trong một báo cáo được công bố hôm thứ Sáu rằng các cuộc tấn công đánh cắp thông tin đang diễn ra nhắm vào người dùng macOS có thể đã áp dụng các phương pháp khác nhau để xâm phạm máy Mac của nạn nhân, nhưng hoạt động với mục tiêu cuối cùng là đánh cắp dữ liệu nhạy cảm.
Một chuỗi tấn công như vậy nhắm mục tiêu vào người dùng đang tìm kiếm Arc Browser trên các công cụ tìm kiếm như Google để phân phát các quảng cáo không có thật chuyển hướng người dùng đến các trang web trông giống nhau ("airci[.]net") phân phát phần mềm độc hại.
Các nhà nghiên cứu bảo mật cho biết: “Điều thú vị là trang web độc hại không thể truy cập trực tiếp vì nó trả về lỗi”. "Nó chỉ có thể được truy cập thông qua một liên kết được tài trợ được tạo ra, có lẽ là để tránh bị phát hiện."
Tệp ảnh đĩa được tải xuống từ trang web giả mạo ("ArcSetup.dmg") cung cấp Atomic Stealer, được biết là yêu cầu người dùng nhập mật khẩu hệ thống của họ thông qua lời nhắc giả mạo và cuối cùng tạo điều kiện cho việc đánh cắp thông tin.
Chuyên gia cho biết họ cũng phát hiện ra một trang web giả mạo có tên Meethub[.]gg tuyên bố cung cấp phần mềm lập lịch họp nhóm miễn phí nhưng thực tế lại cài đặt một phần mềm độc hại đánh cắp khác có khả năng thu thập dữ liệu móc khóa của người dùng, thông tin đăng nhập được lưu trữ trong trình duyệt web và thông tin từ ví tiền điện tử. .
Giống như Atomic steaker, phần mềm độc hại – được cho là trùng lặp với họ đánh cắp dựa trên Rust có tên Realst – cũng nhắc người dùng nhập mật khẩu đăng nhập macOS của họ bằng cách sử dụng lệnh gọi AppleScript để thực hiện các hành động độc hại.
Các cuộc tấn công lợi dụng phần mềm độc hại này được cho là đã tiếp cận nạn nhân với lý do thảo luận về cơ hội việc làm và phỏng vấn họ cho một podcast, sau đó yêu cầu họ tải xuống ứng dụng từ Meethub[.]gg để tham gia hội nghị video được cung cấp trong lời mời họp.
Các nhà nghiên cứu cho biết: “Những cuộc tấn công này thường tập trung vào những người trong ngành công nghiệp tiền điện tử vì những nỗ lực như vậy có thể mang lại khoản tiền lớn cho những kẻ tấn công”. “Những người trong ngành nên siêu ý thức rằng thường rất dễ tìm thấy thông tin công khai rằng họ là chủ sở hữu tài sản hoặc có thể dễ dàng bị ràng buộc với một công ty đưa họ vào ngành này.”
Được ngụy trang dưới dạng tệp DMG vô hại, nó lừa người dùng cài đặt thông qua hình ảnh lừa đảo, thuyết phục người dùng bỏ qua tính năng bảo mật Gatekeeper của macOS.
Sự phát triển này là dấu hiệu cho thấy môi trường macOS đang ngày càng bị đe dọa bởi các cuộc tấn công đánh cắp, với một số chủng thậm chí còn tự hào về các kỹ thuật chống ảo hóa tinh vi bằng cách kích hoạt công tắc tiêu diệt tự hủy để tránh bị phát hiện.
Trong những tuần gần đây, người ta cũng quan sát thấy các chiến dịch quảng cáo độc hại đẩy trình tải FakeBat (còn gọi là EugenLoader) và những kẻ đánh cắp thông tin khác như Rhadamanthys thông qua trình tải dựa trên Go thông qua các trang web mồi nhử cho phần mềm phổ biến như Notion và PuTTY.
Hương – Theo TheHackerNews
Tin liên quan:
Hiện tại, các bản tải xuống và cập nhật của các sản phẩm Kaspersky không được tìm thấy trên Google Play. Kaspersky đang điều tra các tình huống đằng...
Chi tiếtHiện tại, các bản tải xuống và cập nhật của các sản phẩm Kaspersky không được tìm thấy trên Google Play. Kaspersky đang điều tra các tình huống đằng...
Chi tiếtHiện tại, các bản tải xuống và cập nhật của các sản phẩm Kaspersky không được tìm thấy trên Google Play. Kaspersky đang điều tra các tình huống đằng...
Chi tiết