Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Mac-Malware Atomic macOS Stealer Malware

Atomic macOS Stealer Malware

Von Mezo in Mac-Malware
Übersetzen Sie in:

Cybersicherheitsforscher haben eine neue Malware-Kampagne aufgedeckt, die die irreführende Social-Engineering-Taktik namens ClickFix nutzt, um Atomic macOS Stealer (AMOS) zu verbreiten, eine Malware zum Stehlen von Informationen, die darauf ausgelegt ist, Apple macOS-Systeme zu kompromittieren.

Typosquat-Taktiken: Spectrum imitieren

Die Angreifer hinter dieser Kampagne verwenden Typosquat-Domains, die den US-amerikanischen Telekommunikationsanbieter Spectrum imitieren, und nutzen betrügerische Websites wie panel-spectrum.net und spectrum-ticket.net, um ahnungslose Nutzer anzulocken. Diese nachgemachten Domains wirken legitim und erhöhen so das Vertrauen und die Interaktion der Nutzer.

Bösartiges Shell-Skript: Die versteckte Nutzlast

Alle macOS-Nutzer, die diese gefälschten Websites besuchen, erhalten ein bösartiges Shell-Skript. Dieses Skript fordert die Opfer zur Eingabe ihres Systemkennworts auf und stiehlt anschließend Anmeldeinformationen, umgeht die macOS-Sicherheitskontrollen und installiert eine Variante der AMOS-Malware zur weiteren Ausnutzung. Native macOS-Befehle werden verwendet, um die Effektivität des Skripts zu maximieren und gleichzeitig die Sichtbarkeit zu wahren.

Spuren der Herkunft: Russischsprachige Code-Kommentare

Es gibt Hinweise darauf, dass russischsprachige Cyberkriminelle hinter dieser Kampagne stecken könnten. Forscher fanden russischsprachige Kommentare im Quellcode der Malware, was auf die wahrscheinliche geografische und sprachliche Herkunft der Angreifer hindeutet.

Irreführendes CAPTCHA: Der ClickFix-Köder

Der Angriff beginnt mit einer gefälschten hCaptcha-Verifizierungsnachricht, die angeblich die Verbindungssicherheit des Benutzers überprüft. Nach dem Anklicken des Kontrollkästchens „Ich bin ein Mensch“ wird den Benutzern die gefälschte Fehlermeldung „CAPTCHA-Verifizierung fehlgeschlagen“ angezeigt. Anschließend werden sie aufgefordert, eine „alternative Verifizierung“ durchzuführen.

Diese Aktion kopiert einen bösartigen Befehl in die Zwischenablage und zeigt Anweisungen basierend auf dem Betriebssystem des Benutzers an. Unter macOS werden die Opfer aufgefordert, den Befehl in die Terminal-App einzufügen und auszuführen, um den Download von AMOS zu starten.

Schlampige Ausführung: Hinweise im Code

Trotz der gefährlichen Absicht der Kampagne stellten die Forscher Inkonsistenzen in der Angriffsinfrastruktur fest. Auf den Lieferseiten wurden mangelhafte Logik- und Programmierfehler beobachtet, beispielsweise:

  • PowerShell-Befehle werden für Linux-Benutzer kopiert.
  • Windows-spezifische Anweisungen werden sowohl Windows- als auch Mac-Benutzern angezeigt.
  • Front-End-Nichtübereinstimmungen zwischen angezeigtem Betriebssystem und Anweisungen.
  • Diese Fehler deuten auf eine hastig aufgebaute oder schlecht gewartete Angriffsinfrastruktur hin.

    • Der Aufstieg von ClickFix: Ein wachsender Bedrohungsvektor

    Diese Entwicklung ist Teil eines wachsenden Trends, der die ClickFix-Taktik im vergangenen Jahr in verschiedenen Malware-Kampagnen einsetzte. Bedrohungsakteure verwenden für den ersten Zugriff stets ähnliche Techniken, Tools und Verfahren (TTPs). Am häufigsten sind dies:

    • Spear-Phishing
    • Drive-by-Downloads
    • Schädliche Links, die über vertrauenswürdige Plattformen wie GitHub geteilt werden

    Gefälschte Lösungen, echter Schaden: Social Engineering in seiner schlimmsten Form

    Opfer werden getäuscht und glauben, sie würden ein harmloses technisches Problem lösen. In Wirklichkeit führen sie jedoch schädliche Befehle aus, die Malware installieren. Diese Form des Social Engineering ist äußerst effektiv, um das Bewusstsein der Benutzer und Standardsicherheitsmechanismen zu umgehen.

    Wachsende Auswirkungen: Globale Verbreitung und vielfältige Nutzlasten

    ClickFix-Kampagnen wurden in Kundenumgebungen in den USA, Europa, dem Nahen Osten und Afrika (EMEA) entdeckt. Diese Angriffe werden zunehmend vielfältiger und verbreiten nicht nur Stealer wie AMOS, sondern auch Trojaner und Ransomware. Die Schadsoftware kann zwar variieren, die Kernmethode bleibt jedoch gleich: die Manipulation des Benutzerverhaltens, um die Sicherheit zu gefährden.

    Fazit: Wachsamkeit geboten

    Diese Kampagne unterstreicht die Bedeutung ständiger Wachsamkeit, Benutzerschulung und robuster Sicherheitskontrollen. Angesichts der Weiterentwicklung von Social-Engineering-Taktiken wie ClickFix müssen Unternehmen und Einzelpersonen gleichermaßen informiert und darauf vorbereitet sein, solche betrügerischen Bedrohungen zu erkennen und zu blockieren.

    Im Trend

    Am häufigsten gesehen

    Wird geladen...