«Изощренная и тревожная» вредоносная атака на Mac осуществляется под видом бесплатных версий популярных приложений, таких как утилита для записи экрана Loom, менеджер криптовалют LedgerLive и многопользовательская многопользовательская онлайн-игра Black Desert.
Судя по всему, это хорошо организованная атака, в ходе которой поддельные предложения приложений для Mac продвигаются с помощью комбинации выглядящей как настоящая рекламы Google и фишинговых писем…
Вредоносная кампания была обнаружена Moonlock, группой кибербезопасности в MacPaw, разработчике приложения CleanMyMac. Команда утверждает, что изначально она, по-видимому, ограничивалась имитацией Loom.
В Moonlock Lab мы недавно обнаружили сложную и тревожную угрозу, распространяющуюся через спонсируемые Google URL-адреса. Угроза, вредоносное ПО-вор, нацеленное на macOS, выдает себя за популярное приложение Loom, широко используемый инструмент для записи экрана.
Наше расследование началось, когда мы заметили рекламу Google, которая, по всей видимости, рекламировала официальное приложение Loom. На первый взгляд, она выглядела законной, побуждая пользователей кликать на то, что казалось надежным источником. Однако после клика по ссылке все приняло неприятный оборот.
Но дальнейшее расследование показало, что реклама и промо-акции других приложений также использовались для продвижения того же вредоносного ПО. К ним относятся:
- Черная пустыня онлайн
- Календли
- Хром
- Фигма
- Fire Fox
- Gatherum
- LedgerLive
- PartyLauncher
- Сафари
- Увеличить
По крайней мере одна из фишинговых кампаний была специально нацелена на создателей контента на YouTube, утверждая, что им предлагается индивидуальная ссылка для загрузки Black Desert Online.
Ссылка LedgerLive особенно опасна, поскольку при загрузке она заменяет настоящее приложение.
Заменив подлинное приложение вредоносной версией, злоумышленники могут потенциально получить доступ к криптовалютным кошелькам жертв и опустошить их. Это может привести к финансовым потерям, поскольку вредоносный клон разработан так, чтобы максимально точно имитировать внешний вид и функциональность легитимного приложения, что затрудняет обнаружение взлома пользователями.
[It is capable of] сбор файлов, информации об оборудовании, паролей, данных из браузеров, учетных данных связки ключей и многого другого.
Предполагается, что за кампанией стоит хорошо организованная группа, известная как Crazy Evil.
Как всегда, загружайте приложения только из Mac App Store или с доверенных сайтов разработчиков и проверяйте, что URL-адрес не меняется на другой домен при нажатии на ссылку для загрузки.