Малварь Atomic Stealer распространяется через поддельные страницы программного обеспечения MacOS

Новая крупномасштабная кибератака направлена на пользователей Mac через поддельные страницы GitHub, имитирующие известные компании.

Атакующие создают поддельные репозитории на GitHub, которые, как представляется, предлагают законное программное обеспечение для macOS, согласно LastPass. В реальности, загрузки перенаправляют жертв на сайт, который устанавливает Atomic Stealer, также известный как вредоносное ПО AMOS.

Исследователи утверждают, что вредоносное ПО активно с апреля 2023 года, крадя пароли и финансовую информацию у пользователей.

«Злоумышленники используют оптимизацию поисковых систем (SEO), чтобы выводить ссылки на свои вредоносные сайты на вершину страниц поиска, включая Bing и Google», — объяснила LastPass.

LastPass подтвердил, что его собственная марка использовалась в этом мошенничестве. Две страницы GitHub, созданные 16 сентября, имитировали LastPass и включали ссылки, утверждающие: «Установите LastPass на MacBook».

Это перенаправило пользователей на другую вредоносную страницу, которая затем призвала их выполнить команду в терминале их Mac. Эта команда инициировала загрузку, которая тайно установила вредоносное ПО Atomic Stealer.

Обе эти поддельные страницы LastPass уже были удалены, но, по всей видимости, злоумышленники используют несколько аккаунтов на GitHub, чтобы обойти их удаление.

«Мы пишем этот блог, чтобы повысить осведомленность о кампании и защитить наших клиентов, пока мы продолжаем активно добиваться прекращения и срыва этих атак», — заявили в LastPass.

Кампания не ограничивается LastPass. Компания сообщает, что хакеры атакуют несколько бизнес-секторов, включая технологические компании и финансовые организации, а также сервисы защиты паролей.

Команда по безопасности LastPass распространяет индикаторы компрометации (IoCs) организациям для обнаружения угроз, в то время как компания отслеживает ситуацию и предоставляет дополнительную информацию.