S.E.Book
Переслано от SecAtor
Разработчики LastPass предупреждают о широкомасштабной кампании, нацеленной на кражу информации у пользователей macOS.
Злоумышленники выдают себя за известные бренды для заражения пользователей macOS LastPass инфокрадом Atomic.
В рамках цепочки заражения они задействуют мошеннические репозитории GitHub, якобы предоставляющие ПО macOS от различных компаний, используя поисковую оптимизацию (SEO) для продвижения ссылок на них.
В случае с LastPass мошеннические репозитории перенаправляли потенциальных жертв на репозиторий, который загружал вредоносное ПО Atomic infostealer.
LastPass обнаружила два ресурса на GitHub, выдававших себя за бренд.
Они были опубликованы на платформе совместного использования кодов, принадлежащей Microsoft, 16 сентября и с тех пор были удалены.
Оба сообщения были опубликованы пользователем под именем modhopmduck476 и содержали ссылки, якобы позволяющие пользователям установить LastPass на MacBook, но перенаправлявшие на одну и ту же вредоносную страницу.
Страница, на которой заявлялось о предложении LastPass Premium на MacBook, перенаправляла на macprograms-pro[.]com, где пользователям предлагалось скопировать и вставить команду в окно терминала.
Команда инициирует запрос CURL к закодированному URL-адресу, в результате чего полезная нагрузка Update загружается в каталог Temp.
Полезной нагрузкой был Atomic macOS Stealer (AMOS), который использовался в многочисленных атаках с 2023 года.
В августе CrowdStrike предупреждала об увеличении числа мошеннических рекламных объявлений с вариантом AMOS под названием SHAMOS.
LastPass обнаружил злоумышленников, выдающих себя за финансовые учреждения, менеджеры паролей, технологические компании, инструменты ИИ, криптокошельки и др.
Для уклонения от обнаружения злоумышленники использовали несколько имен пользователей GitHub для создания других фейковых страниц, которые следовали схожему шаблону именования, где использовались название целевой компании и терминология, связанная с Mac.
Кампания, за которой наблюдает LastPass, продолжается по крайней мере с июля.
Тогда же исследователь Deriv Дхирадж Мишра предупреждал, что пользователи Homebrew подвергаются атакам с использованием вредоносной рекламы и поддельными репозиториями GitHub.
Атаки полагались на доверие пользователей к Google Ads и GitHub и приводили к установке официального приложения Homebrew, скрывая при этом выполнение вредоносной нагрузки в фоновом режиме.
Злоумышленники выдают себя за известные бренды для заражения пользователей macOS LastPass инфокрадом Atomic.
В рамках цепочки заражения они задействуют мошеннические репозитории GitHub, якобы предоставляющие ПО macOS от различных компаний, используя поисковую оптимизацию (SEO) для продвижения ссылок на них.
В случае с LastPass мошеннические репозитории перенаправляли потенциальных жертв на репозиторий, который загружал вредоносное ПО Atomic infostealer.
LastPass обнаружила два ресурса на GitHub, выдававших себя за бренд.
Они были опубликованы на платформе совместного использования кодов, принадлежащей Microsoft, 16 сентября и с тех пор были удалены.
Оба сообщения были опубликованы пользователем под именем modhopmduck476 и содержали ссылки, якобы позволяющие пользователям установить LastPass на MacBook, но перенаправлявшие на одну и ту же вредоносную страницу.
Страница, на которой заявлялось о предложении LastPass Premium на MacBook, перенаправляла на macprograms-pro[.]com, где пользователям предлагалось скопировать и вставить команду в окно терминала.
Команда инициирует запрос CURL к закодированному URL-адресу, в результате чего полезная нагрузка Update загружается в каталог Temp.
Полезной нагрузкой был Atomic macOS Stealer (AMOS), который использовался в многочисленных атаках с 2023 года.
В августе CrowdStrike предупреждала об увеличении числа мошеннических рекламных объявлений с вариантом AMOS под названием SHAMOS.
LastPass обнаружил злоумышленников, выдающих себя за финансовые учреждения, менеджеры паролей, технологические компании, инструменты ИИ, криптокошельки и др.
Для уклонения от обнаружения злоумышленники использовали несколько имен пользователей GitHub для создания других фейковых страниц, которые следовали схожему шаблону именования, где использовались название целевой компании и терминология, связанная с Mac.
Кампания, за которой наблюдает LastPass, продолжается по крайней мере с июля.
Тогда же исследователь Deriv Дхирадж Мишра предупреждал, что пользователи Homebrew подвергаются атакам с использованием вредоносной рекламы и поддельными репозиториями GitHub.
Атаки полагались на доверие пользователей к Google Ads и GitHub и приводили к установке официального приложения Homebrew, скрывая при этом выполнение вредоносной нагрузки в фоновом режиме.
Lastpass
Large-Scale Attack Targeting Macs via GitHub Pages Impersonating Companies to Attempt to Deliver Stealer Malware - The LastPass Blog
Were tracking an ongoing, widespread infostealer campaign targeting Mac users through fraudulent GitHub repositories.
9 2.3K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram