Реклами Google використовувалися для розповсюдження шкідливого ПЗ для Mac

Експерти нещодавно виявили шкідливе програмне забезпечення macOS, замасковане під популярний додаток для запису екрана Loom, яке поширюється через оманливі URL-адреси, спонсоровані Google.

Lab Moonlock виявила складне шкідливе програмне забезпечення macOS, замасковане під Loom, організоване сумнозвісною групою Crazy Evil. Воно використовує оманливі URL-адреси, спонсоровані Google, щоб обманом змусити користувачів завантажувати шкідливе програмне забезпечення.

Розслідування почалося, коли Lab Moonlock виявила рекламне оголошення Google, що просуває офіційний додаток Loom. Реклама виглядала легітимно і заохочувала користувачів натиснути на посилання від надійного джерела.

Однак, натиснувши на посилання, користувачі перенаправлялися на сайт, майже ідентичний офіційному сайту Loom, розміщеному на smokecoffeeshop[.]com. Користувачів закликали завантажити те, що вони вважали Loom, шкідливий файл, що містить програми-злодії.

Кампанія не обмежувалася лише Loom. Нападники також створили підроблені версії інших популярних додатків, включаючи Figma, TunnelBlick (VPN), Callzy та файл із підозрілою назвою BlackDesertPersonalContractforYouTubepartners[.]dmg.

Останній приклад пропонує фішингову кампанію, націлену на творців контенту YouTube, тактику, яку раніше використовували проти користувачів Windows, але тепер адаптовано для macOS.

Подібні фішингові електронні листи були надіслані користувачам Windows у 2022 році. Користувачі Mac стикаються з тими самими загрозами, коли зловмисники експлуатують відносини між ігровими компаніями та творцями контенту. Вони заманюють блогерів та творців контенту обіцянками прибуткових контрактів для просування ігор, таких як Black Desert Online, на їх каналах.

Шкідливий клон LedgerLive

Аспект кампанії передбачає використання стілера, який замінює законний додаток LedgerLive на шкідливий клон. LedgerLive широко використовується власниками криптовалюти, що робить його ціллю для кіберзлочинців.

Зловмисники можуть отримати доступ до криптогаманців жертв і вичерпати їх, замінивши справжній додаток шкідливою версією. Шкідливий клон імітує зовнішній вигляд та функціональність легітимного додатка, що ускладнює користувачам виявлення компрометації.

Розслідування Moonlock Lab виявило стрічки з "Ledger" в інфікованих файлах, що підтверджує шкідливий намір щодо криптоактивів користувачів. Викрадач, ідентифікований як варіант AMOS, зберігає ключові функції, такі як захоплення файлів, інформації про апаратне забезпечення, паролів, даних з браузерів та злиття облікових даних з ключових ланцюжків.

Рекрутинг на даркнеті та атрибуція

Оголошення про рекрутинг на даркнеті, розміщене Crazy Evil, шукає осіб для приєднання до команди, яка використовує цей варіант викрадача для macOS. Оголошення про рекрутинг деталізує переваги, такі як надійний захист та використання різних форматів для різних жертв.

Цікаво, що Moonlock Lab виявила IP-адресу, пов'язану з урядовою організацією, з високим рівнем асоціації з шкідливим ПЗ та 93 файлами, позначеними як шкідливе ПЗ. IP-адреса розміщувала файли, пов'язані з macOS, з кампанії, що розпочалася 23 липня 2024 року.

Як користувачі Mac можуть залишатися в безпеці

Користувачі Mac можуть захистити себе, вживаючи проактивних заходів. Завжди двічі перевіряйте URL-адреси при завантаженні файлів, навіть з надійних джерел, таких як Google Ads або топ-результати пошуку.

Регулярно скануйте свій пристрій за допомогою надійних антивірусних інструментів, таких як CleanMyMac X з Moonlock Engine, щоб переконатися у відсутності шкідливого ПЗ. Оновлюйте програмне забезпечення, щоб захиститися від відомих вразливостей.

Нарешті, будьте обережні з електронними листами, що пропонують контракти чи угоди від невідомих відправників, щоб уникнути фішингових схем. Вбудовані функції безпеки Mac, Gatekeeper та XProtect, надають додатковий захист від шкідливого ПЗ і ввімкнені за замовчуванням.