תוכנה זדונית של macOS שהתגלתה באפריל מצאה וקטור התקפה חדש, כאשר אנשים שמחפשים תוכנה בגוגל מצאו תוכנות זדוניות המוצגות כמודעות לגיטימיות.
מטען התוכנה הזדונית המכונה Atomic macOS Stealer (AMOS) הופיע לראשונהבאפרילנמכר בטלגרם תמורת 1,000 דולר לחודש. לאחר ההתקנה, הוא אוסף את סיסמת המערכת של המשתמש באמצעות חלונות קופצים אגרסיביים ולאחר מכן שואב נתונים רגישים כמו סיסמאות, קריפטו וקבצים.
לְפִידוחמחוקרים ב-Malwarebytes, AMOS מועברת באמצעות ערכת מודעות של Google למחפשים תמימים. המודעות לגיטימיות ובעלות בתשלום אך מתחפשות לאתר או לתוכנה שהמשתמש מחפש.
מתקפה זו מסתמכת על אמון המשתמשים בגוגל בעת לחיצה על תוצאות חיפוש של מודעות. הוא מופיע בחלק העליון של הדף ויש לו את חותמת הפרסום של Google, כך שמשתמשים לוחצים מבלי לבדוק כתובות אתרים חשודות או בעלי דומיינים.
ברגע שהמשתמש לוחץ על הקישור, מוצג לו דף בעל מראה רגיל. התוקפים יוצרים שיבוט כמעט מושלם של מה שמשתמשי האתר מצפים להם, אז הם לוחצים ומורדים את התוכנה.
AMOS לא צריכה לעבור את תהליך ההתקנה הרגיל דרך Gatekeeper מכיוון שהיא אפליקציה חתומה אד-הוק. משתמשים מופנים ללחוץ לחיצה ימנית ולפתוח את התוכנה מקובץ ה-.dmg המותקן.
לאחר פתיחת הקובץ, הנחיה מזויפת לסיסמת המערכת ממשיכה לצוץ עד שהמשתמש מתרצה ומזין את הסיסמה שלו. לאחר מכן הוא אוסף את הנתונים שהוא יכול ממחזיק המפתחות, מערכת הקבצים וארנקי ההצפנה של המשתמש ושולח אותם למפעיל התוכנה הזדונית.
דף מסירה של תוכנות זדוניות. מקור: Malwarebytes
כיצד להגן על עצמך מפני AMOS
גוגל היא לא כלי חסין תקלות. הוא מספק מידע המבוסס על נתוני החשבון ומילות המפתח של המשתמש, ומודעות זדוניות לא תמיד יתפסו בבדיקה.
כלל האבטחה מספר אחת של האינטרנט הוא שימת לב לכתובת האתר. בדוגמה שניתנה על ידי Malwarebytes, כתובת האתר היא trabingviews.com.
על המשתמשים לנקוט משנה זהירות בכל פעם שהם בוחרים להוריד תוכנה מהאינטרנט. המקApp Storeהוא המסלול הבטוח ביותר עבורמקמשתמשים, אבל זו לא תמיד תהיה אפשרות.
שימו לב לתוצאות של גוגל, לכתובת ה-URL אליה אתם מופנים ולמתקין התוכנה עצמו. היזהר מאיך התוכנה מבקשת להתקין אותה. רוב התוכנות לא אמורות לבקש מהמשתמש לעקוף את Gatekeeper.
דגל אדום פוטנציאלי הוא תוכנה שדורשת מהמשתמש לפתוח את האפליקציה במקום, על תמונת המתקין. ככלל, זה צריך לבקש מהמשתמש לגרור את האפליקציה המותקנת ל-Finder.
כמו כן, היזהרו מפניות אקראיות לסיסמת המערכת, במיוחד מיד לאחר התקנת תוכנה חדשה. בדוק את תיבת הדו-שיח לאיתור אי סדרים בעיצוב או שגיאות הקלדה.
