Сложная и угрожающая атака с использованием вредоносного ПО для Mac осуществляется под видом бесплатных версий таких популярных приложений, как утилита для записи экрана Loom, криптовалютный менеджер LedgerLive и MMO-игра Black Desert Online.
Судя по всему, это хорошо организованная атака, в ходе которой фейковые приложения для Mac продвигаются с помощью сочетания легитимной рекламы Google и фишинговых писем.
Кампания по распространению вредоносного ПО была обнаружена группой специалистов по кибербезопасности Moonlock, входящей в состав компании MacPaw, разработчика приложения CleanMyMac. По словам команды, первоначально казалось, что она ограничивалась только имитацией приложения Loom.
Лаборатория Moonlock недавно обнаружила сложную и серьёзную угрозу, распространяющуюся через URL-адреса, спонсируемые Google. Угроза, представляющая собой вредоносное ПО, нацеленное на macOS, выдаёт себя за популярное приложение Loom, широко используемый инструмент для записи экрана.
Наше расследование началось с того, что мы заметили рекламу в Google, которая, как казалось, продвигала официальное приложение Loom. На первый взгляд, она выглядела легитимной, заманивая пользователей перейти по ссылке, которая казалась надёжным источником. Однако после перехода по ссылке ситуация принемает неприятный оборот.
Дальнейшее расследование показало, что для распространения вредоносного ПО использовались также рекламные объявления и промо-ролики других программ и игр. К ним относятся:
- Black Desert Online
- Calendly
- Chrome
- Figma
- Firefox
- Gatherum
- LedgerLive
- PartyLauncher
- Safari
- Zoom
Ссылка LedgerLive особенно опасна, поскольку при загрузке она заменяет настоящее приложение.
Заменив оригинальное приложение на вредоносную версию, злоумышленники могут получить доступ к криптовалютным кошелькам жертв и вывести из них средства. Это может привести к финансовым потерям, поскольку вредоносный клон разработан таким образом, чтобы полностью имитировать внешний вид и функциональность легитимного приложения, что затрудняет обнаружение компрометации пользователями.
[Оно способно] перехватывать файлы, информацию об оборудовании, пароли, данные из браузеров, учётные данные дампа связки ключей и многое другое.
Предполагается, что за организацией кампании стоит хорошо организованная группа, известная как Crazy Evil.
Как всегда, стоит напомнить, что загружать приложения следует только из Mac App Store или с сайтов проверенных разработчиков, а также проверять, не изменился ли URL на другой домен при нажатии на ссылку загрузки.
Ещё по теме: