Παρόλο που είναι πολύ πιο συνηθισμένο να διαβάζουμε για επιθέσεις σε κωδικούς πρόσβασης χρηστών των Windows ή για στοχοποίηση υπηρεσιών όπως το Gmail, η αλήθεια είναι ότι κανείς δεν είναι ασφαλής από την κλοπή διαπιστευτηρίων, όπως καταδεικνύει η πρόσφατα επιβεβαιωμένη επίθεση κλοπής κωδικών της Apple, όπως αναλύει ο Davey Winder.
Τι πρέπει να γνωρίζετε για την επίθεση AMOS Apple Passwords
Η τελευταία έκθεση πληροφοριών για τους εχθρούς από τον Koushik Pal, ερευνητή απειλών στο CloudSEK, προειδοποίησε τους χρήστες ότι έχει παρατηρηθεί μια πρόσφατα εντοπισμένη καμπάνια κλοπής Atomic macOS που χρησιμοποιεί μια προηγουμένως άγνωστη παραλλαγή που στοχεύει το λειτουργικό σύστημα της Apple.
Παρόλο που αυτή η τελευταία και συνεχιζόμενη απειλή αξιοποιεί γνωστές υπάρχουσες τακτικές και τεχνικές, όπως η ψεύτικη οθόνη CAPTCHA Clickfix και η κοινωνική μηχανική πολλαπλών πλατφορμών, ο κίνδυνος που θέτει για τους χρήστες macOS παραμένει υψηλός.
Πιο γνωστή ως AMOS, αυτή η τελευταία παραλλαγή του Atomic macOS Stealer έχει παρατηρηθεί να χρησιμοποιεί ιστότοπους επιθέσεων Clickfix που μιμούνται μια αμερικανική εταιρεία παροχής υπηρεσιών υποστήριξης στους τομείς της καλωδιακής τηλεόρασης, της παροχής διαδικτύου, της κινητής τηλεφωνίας και των διαχειριζόμενων υπηρεσιών.
Η μίμηση της επωνυμίας σε αυτήν την περίπτωση καθίσταται δυνατή μέσω τυπογραφικών λαθών κατάληψης domain που μοιάζουν με το γνήσιο άρθρο.
Πώς σχεδιάζεται
«Στους χρήστες macOS παρέχεται ένα κακόβουλο shell script που έχει σχεδιαστεί για να κλέβει κωδικούς πρόσβασης συστήματος και να κατεβάζει μια παραλλαγή AMOS για περαιτέρω εκμετάλλευση», προειδοποίησε ο Pal . Αυτό το script στη συνέχεια χρησιμοποιεί εγγενείς εντολές macOS για να «συλλέξει διαπιστευτήρια, να παρακάμψει μηχανισμούς ασφαλείας και να εκτελέσει κακόβουλα δυαδικά αρχεία». Αυτή είναι, για να είμαστε δίκαιοι, η πιο σημαντική απειλή για τους κωδικούς πρόσβασής σας στην Apple που πρόκειται να λάβετε.
Στοχεύοντας τόσο σε καταναλωτές όσο και σε εταιρικούς χρήστες και επισημαίνοντας μια τάση σε τέτοιες επιθέσεις κοινωνικής μηχανικής σε πολλαπλές πλατφόρμες, ο Pal δήλωσε ότι τα σχόλια στον πηγαίο κώδικα υποδηλώνουν ότι ρωσόφωνοι κυβερνοεγκληματίες βρίσκονται πίσω από τη νέα εκστρατεία απειλών AMOS.
Το κακόβουλο λογισμικό AMOS χρησιμοποιεί νόμιμα βοηθητικά προγράμματα για να παρακάμψει τους ελέγχους ασφαλείας των τελικών σημείων και να εξαγάγει κωδικούς πρόσβασης χρηστών macOS, οι οποίοι στη συνέχεια μπορούν να χρησιμοποιηθούν για πλευρική μετακίνηση ή να πωληθούν σε μεσίτες αρχικής πρόσβασης για χρήση σε άλλες κυβερνοεγκληματικές εκστρατείες, συμπεριλαμβανομένων επιθέσεων ransomware.
Οι χρήστες θα πρέπει να ενημερώνονται για τις τακτικές που χρησιμοποιούνται από τέτοιες εκστρατείες κλοπής κωδικών πρόσβασης της Apple, συνέστησε ο Pal ως μέτρο μετριασμού, «ειδικά εκείνες που μεταμφιέζονται ως προτροπές επαλήθευσης συστήματος».