HackerNews 编译,转载请注明出处:
LastPass警告用户,有一项针对macOS用户的恶意软件攻击活动,通过伪装成流行软件并通过欺诈性的GitHub仓库传播。
这些假冒应用程序通过ClickFix攻击传播Atomic(AMOS)信息窃取型恶意软件,并通过搜索引擎优化(SEO)手段在Google和Bing上获得推广。
AMOS是一种恶意软件即服务(MaaS)运营,月租费用为1000美元,通常针对感染机器上的数据。
最近,恶意软件的开发者为其增加了后门组件,使攻击者能够在受感染的系统上保持持久和隐蔽的访问权限。
LastPass表示,除了他们的产品之外,这一攻击活动还伪装成了100多种软件产品,包括1Password、Dropbox、Confluence、Robinhood、Fidelity、Notion、Gemini、Audacity、Adobe After Effects、Thunderbird和SentinelOne等。
攻击者创建了大量欺诈性的GitHub仓库,使用多个帐户来规避封禁,并通过优化这些仓库,使它们在搜索结果中排名较高。
这些仓库中含有一个“下载按钮”,点击后会将用户引导到一个二级网站,用户在该网站上被要求在Terminal(终端)中粘贴命令以进行安装。
这是典型的ClickFix攻击,利用受害者不理解命令在他们的系统中做什么的漏洞。
该命令执行了一个curl请求,访问一个base64编码的URL,下载AMOS负载(install.sh)到/tmp目录中。
针对Apple电脑的ClickFix攻击并不罕见。
BleepingComputer曾报道过类似的攻击活动,其中伪装成Booking.com,最近也有广告推广假冒解决方案针对macOS特有的问题。
尽管LastPass继续监控这一活动并向GitHub报告假冒仓库,但攻击者可以通过新帐户的自动化轻松创建新的仓库。
为了避免成为ClickFix攻击的受害者,用户应谨慎执行自己不理解的命令。
在网上寻找软件时,建议信任供应商或项目的官方网站。如果官网没有提供macOS版本,那么该非官方版本很可能是假的。
对于macOS版本,用户应确保其来自经过社区验证的信誉良好的供应商。
消息来源:bleepingcomputer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
