מומחים גילו לאחרונה אmacOSתוכנה זדונית גנבת מחופשת לאפליקציית הקלטת המסך הפופולרית Loom, המופצת דרך כתובות URL מטעות בחסות Google.
מעבדת Moonlock מצאה תוכנה זדונית מתוחכמת של גנבת macOS המחופשת לנול, בתזמורת קבוצת Crazy Evil הידועה לשמצה. הוא משתמש בכתובות URL מטעות בחסות Google כדי להערים על משתמשים להוריד תוכנות מזיקות.
החקירההחל כאשר Moonlock Lab זיהתה מודעת Google שמקדמת את אפליקציית Loom הרשמית. המודעה נראתה לגיטימית ופיתה משתמשים ללחוץ על מקור מהימן.
עם זאת, לחיצה על הקישור הפנתה את המשתמשים לאתר כמעט זהה לאתר הרשמי של Loom, המתארח ב-smookcoffeeshop[.]com. משתמשים התבקשו להוריד את מה שהם האמינו שהוא Loom, קובץ זדוני המכיל תוכנות זדוניות של גניבה.
הקמפיין לא הוגבל לנול. התוקפים יצרו גם גרסאות מזויפות של יישומים פופולריים אחרים, כולל Figma, TunnelBlick (VPN), Callzy וקובץ בעל שם חשוד, BlackDesertPersonalContractforYouTubepartners[.]dmg.
קישור מטעה ממומן של גוגל
הדוגמה האחרונה מציעה קמפיין דיוג המכוון ליוצרי תוכן ביוטיוב, טקטיקה ששימשה בעבר נגד משתמשי Windows, אך כעת מיועדת ל-macOS.
מיילים דומים של פישינג נשלחו למשתמשי Windows בשנת 2022. משתמשי Mac מתמודדים עם אותם איומים, כאשר תוקפים מנצלים את הקשר בין חברות המשחקים ליוצרי תוכן. הם מפתים בלוגרים ויוצרי תוכן עם הבטחות לחוזים משתלמים כדי לקדם משחקים כמו Black Desert Online בערוצים שלהם.
שיבוט זדוני של LedgerLive
היבט של הקמפיין כולל שימוש בגנב שמחליף את אפליקציית LedgerLive הלגיטימית בשכפול זדוני. LedgerLive נמצא בשימוש נרחב על ידי בעלי מטבעות קריפטוגרפיים, מה שהופך אותו למטרה עבור פושעי סייבר.
תוקפים יכולים לגשת ולרוקן את ארנקי המטבעות הקריפטו של הקורבנות על ידי החלפת האפליקציה המקורית בגרסה מזיקה. השיבוט הזדוני מחקה את המראה והפונקציונליות של האפליקציה הלגיטימית, מה שמקשה על המשתמשים לזהות את הפשרה.
החקירה של Moonlock Lab מצאה מחרוזות המכילות "לדג'ר" בקבצים הנגועים, המאשרות את כוונת הזדון כלפי נכסי מטבעות הקריפטו של המשתמשים. הגנב, שזוהה כגרסה של AMOS, שומר על תכונות מפתח כמו קבצי משיכה, מידע חומרה, סיסמאות, נתונים מדפדפנים ואישורי השלכת מחזיק מפתחות.
גיוס וייחוס Darknet
מודעות גיוס של Darknet שפורסמו על ידי Crazy Evil מחפשות אנשים להצטרף לצוות המשתמשים בגרסה זו של גנבת macOS. הודעת הגיוס מפרטת יתרונות כמו הגנה אמינה וניצול פורמטים שונים עבור קורבנות שונים.
היקף הקמפיין
מעניין לציין ש-Moonlock Lab זיהתה כתובת IP המקושרת לישות ממשלתית עם שיוך גבוה של תוכנות זדוניות ו-93 קבצים שסומנו כתוכנות זדוניות. כתובת ה-IP אירחה קבצים הקשורים ל-macOS מהקמפיין החל מה-23 ביולי 2024.
משתמשי Mac יכולים להגן על עצמם על ידי נקיטת אמצעים יזומים. בדוק תמיד את כתובות האתרים בעת הורדת קבצים, אפילו ממקורות מהימנים כמו Google Ads או תוצאות חיפוש מובילות.
סרוק באופן קבוע את המכשיר שלך עם כלים אמינים נגד תוכנות זדוניות כמו CleanMyMac X עם Moonlock Engine כדי לוודא שאין תוכנה זדונית. שמור את התוכנה מעודכנת כדי להגן מפני פגיעויות ידועות.
לבסוף, היזהר עם הודעות דוא"ל המציעות חוזים או עסקאות משולחים לא ידועים כדי למנוע תוכניות דיוג. תכונות האבטחה המובנות של ה-Mac, Gatekeeper ו-XProtect, מספקות הגנה נוספת מפני תוכנות זדוניות והן מופעלות כברירת מחדל.
