Поиск Google может выдавать вредоносную рекламу
Вредоносное ПО для macOS, обнаруженное в апреле, нашло новый вектор атаки: люди, ищущие программное обеспечение в Google, находят вредоносное ПО, представленное как законная реклама.
Полезная нагрузка вредоносного ПО, известная как Atomic macOS Stealer (AMOS), впервые появилась в апреле и продавалась в Telegram за 1000 долларов в месяц. После установки он собирает системный пароль пользователя с помощью агрессивных всплывающих окон, а затем откачивает конфиденциальные данные, такие как пароли, криптографические данные и файлы.
Согласно отчету исследователей Malwarebytes, AMOS доставляется через рекламную схему Google ничего не подозревающим пользователям. Реклама является законной и оплаченной, но маскируется под веб-сайт или программное обеспечение, которое ищет пользователь.
Эта атака основана на доверии пользователей к Google при нажатии на результаты поиска по рекламе. Он появляется в верхней части страницы и имеет одобрение Google, поэтому пользователи переходят по нему, не проверяя подозрительные URL-адреса или владельцев доменов.
Как только пользователь нажимает на ссылку, ему открывается обычная страница. Злоумышленники создают почти идеальный клон ожидаемого пользователями веб-сайта, поэтому они переходят на него и загружают программное обеспечение.
AMOS не нужно проходить обычный процесс установки через Gatekeeper, поскольку это специально подписанное приложение. Пользователям предлагается щелкнуть правой кнопкой мыши и открыть программное обеспечение из смонтированного файла .dmg.
После открытия файла фальшивый запрос системного пароля продолжает появляться до тех пор, пока пользователь не уступит и не введет свой пароль. Затем он собирает все возможные данные из связки ключей, файловой системы и криптокошельков пользователя и отправляет их оператору вредоносного ПО.
Замаскированная страница доставки вредоносного ПО. Источник: Malwarebytes.
Как защититься от АМОС
Google не является надежным инструментом. Он предоставляет информацию на основе данных учетной записи пользователя и ключевых слов, а вредоносная реклама не всегда попадает в поле зрения.
Правило безопасности номер один в Интернете — обращать внимание на URL-адрес. В примере, приведенном Malwarebytes, URL-адрес — trapingviews.com.
Пользователи должны проявлять осторожность при загрузке программного обеспечения из Интернета. Mac App Store — самый безопасный путь для пользователей Mac, но это не всегда возможно.
Обратите внимание на результаты Google, URL-адрес, на который вы перенаправлены, и сам установщик программного обеспечения. Будьте осторожны с тем, как программное обеспечение запрашивает установку. Большинство программ не должны просить пользователя обойти Gatekeeper.
Потенциальным тревожным сигналом является программное обеспечение, которое требует от пользователя открыть приложение на месте в образе установщика. Как правило, пользователю следует попросить перетащить установленное приложение в Finder.
Также будьте осторожны со случайными запросами системного пароля, особенно сразу после установки нового программного обеспечения. Проверьте диалоговое окно на наличие нарушений дизайна или опечаток.
