Hakeri koriste maliciozne GitHub repozitorijume da bi inficirali LastPass korisnike na macOS-u Atomic infostealerom.
LastPass upozorava da hakeri u aktuelnoj kampanji lažno predstavljaju poznate brendove s ciljem širenja malvera za krađu informacija među macOS korisnicima.
Kao dio lanca infekcije, hakeri koriste lažne GitHub repozitorijume koji navodno nude macOS softver različitih kompanija. Kroz optimizaciju pretrage (SEO) postižu da se linkovi ovih repozitorijuma pojave pri vrhu rezultata na pretraživačima.
„U slučaju LastPass-a, lažni repozitorijumi preusmjeravali su potencijalne žrtve ka stranici koja preuzima Atomic infostealer malver,“ saopštila je kompanija.
LastPass je identifikovao dva GitHub naloga koja su lažno koristila njegov brend, a postavljena su na Microsoftovoj platformi 16. septembra i u međuvremenu uklonjena.
Oba naloga, koja je otvorio korisnik pod imenom ‘modhopmduck476’, sadržala su linkove koji su navodno nudili instalaciju „LastPass na MacBooku“, ali su sve preusmjeravali na istu malicioznu stranicu.
Jedna od stranica koja je nudila „LastPass Premium na MacBooku“ usmjeravala je korisnike na macprograms-pro[.]com, gdje su dobijali instrukcije da kopiraju i nalijepe komandu u terminal.
Ta komanda je pokretala CURL zahtjev ka enkodovanom URL-u, što je rezultiralo preuzimanjem fajla „Update“ u privremeni direktorijum.
Payload je bio Atomic macOS Stealer (AMOS) infostealer, malver koji se koristi u brojnim napadima još od 2023. godine. U avgustu je CrowdStrike upozorio na porast malicioznih oglasa koji šire varijantu AMOS-a nazvanu SHAMOS.
LastPass je primijetio da hakeri lažno predstavljaju finansijske institucije, menadžere lozinki, tehnološke kompanije, AI alate, kripto novčanike i druge biznise.
Kako bi izbjegli detekciju, hakeri su koristili više GitHub naloga da kreiraju druge lažne stranice, prateći isti obrazac – ime mete uz dodatke vezane za Mac okruženje.
Kampanja koju je LastPass uočio traje najmanje od jula, kada je istraživač bezbjednosti iz Deriv-a, Dhiraj Mishra, upozorio da su korisnici Homebrew alata targetirani malicioznim oglasima koji vode ka lažnom GitHub repozitorijumu.
Napadi su, kako je naglasio Mishra, koristili povjerenje korisnika u Google oglase i GitHub, instalirajući zvaničnu Homebrew aplikaciju kako bi prikrili izvršavanje malicioznog payload-a u pozadini.
Izvor: SecurityWeek