تستهدف حملة ضارة جديدة مطوري macOS باستخدام منصات Homebrew وLogMeIn وTradingView المزيفة التي تقدم برامج ضارة لسرقة المعلومات مثل AMOS (Atomic macOS Stealer) وOdyssey.
تستخدم الحملة تقنيات “ClickFix” حيث يتم خداع الأهداف لتنفيذ الأوامر في الوحدة الطرفية، مما يؤدي إلى إصابة أنفسهم بالبرامج الضارة.
يعد Homebrew نظامًا شائعًا لإدارة الحزم مفتوح المصدر يُسهّل تثبيت البرامج على نظامي التشغيل macOS وLinux. استخدمت جهات التهديد في الماضي اسم المنصة لـ”https://www.bleepingcomputer.com/news/security/fake-homebrew-google-ads-target-mac-users-with-malware/” الهدف=”_blank” rel=”nofollow noopener”> توزيع عاموسفي الحملات الإعلانية الضارة.
LogMeIn هي خدمة الوصول عن بعد، وTradingView عبارة عن منصة للرسوم البيانية المالية وتحليل السوق، وكلاهما يستخدم على نطاق واسع من قبل مستخدمي Apple.
حدد الباحثون في شركة صيد التهديدات Hunt.io أكثر من 85 نطاقًا ينتحل هوية المنصات الثلاثة في هذه الحملة، بما في ذلك ما يلي:
| http://homebrewclubs.org/ | https://sites-phantom.com/ |
| http://homebrewfaq.org/ | https://tradingviewen.com/ |
| http://homebrewlub.us/ | https://tradingvieweu.com/ |
| http://homebrewonline.org/ | https://www.homebrewclubs.org/ |
| http://homebrewupdate.org/ | https://www.homebrewfaq.org/ |
| http://sites-phantom.com/ | https://www.homebrewfaq.us/ |
| http://tradingviewen.com/ | https://www.homebrewonline.org/ |
| http://tradingvieweu.com/ | https://www.homebrewupdate.org/ |
| http://www.homebrewfaq.us/ | https://www.tradingvieweu.com/ |
| http://www.homebrewonline.org/ | https://filmoraus.com/ |
| http://www.tradingviewen.com/ | https://homebrewfaq.org/ |
| https://filmoraus.com/ | https://homebrewfaq.us/ |
| https://homebrewfaq.org/ | https://homebrewlub.us/ |
عند التحقق من بعض النطاقات، اكتشفت BleepingComputer أنه في بعض الحالات كانت حركة المرور إلى المواقع مدفوعة عبر إعلانات Google، مما يشير إلى أن جهة التهديد روجت لها لتظهر في نتائج بحث Google.
تتميز المواقع الضارة ببوابات تنزيل مقنعة للتطبيقات المزيفة وتوجه المستخدمين إلى نسخ ملف حليقة الأمر في المحطة الطرفية الخاصة بهم لتثبيتها”https://hunt.io/blog/macos-odyssey-amos-malware-campaign” الهدف=”_blank” rel=”nofollow noopener”> يقول الباحثون.
المصدر: Hunt.io
وفي حالات أخرى، مثل TradingView، يتم تقديم الأوامر الضارة على أنها “خطوة تأكيد أمان الاتصال”. ومع ذلك، إذا قام المستخدم بالنقر فوق الزر “نسخ”، فسيتم تسليم أمر التثبيت المشفر بـ base64 إلى الحافظة بدلاً من معرف التحقق من Cloudflare المعروض.
المصدر: Hunt.io
تقوم الأوامر بإحضار ملف “install.sh” وفك تشفيره، والذي يقوم بتنزيل ملف ثنائي للحمولة النافعة، وإزالة علامات العزل التي يطالبها برنامج حماية البوابة الالتفافية بالسماح بتنفيذه.
الحمولة هي إما AMOS أو Odyssey، ويتم تنفيذها على الجهاز بعد التحقق مما إذا كانت البيئة عبارة عن جهاز افتراضي أو نظام تحليل.
تستدعي البرامج الضارة صراحةً sudo لتشغيل الأوامر كجذر، وأول إجراء لها هو جمع معلومات تفصيلية عن الأجهزة والذاكرة الخاصة بالمضيف.
بعد ذلك، يتعامل مع خدمات النظام مثل قتل برامج تحديث OneDrive ويتفاعل مع خدمات macOS XPC لمزج نشاطه الضار مع العمليات المشروعة.
وفي نهاية المطاف، يتم تنشيط مكونات البرامج الضارة التي تقوم بسرقة المعلومات، وتجمع المعلومات الحساسة المخزنة على المتصفح، وبيانات اعتماد العملة المشفرة، وتسرب إلى القيادة والتحكم (C2).
AMOS، الذي تم توثيقه لأول مرة في أبريل 2023، هو برنامج ضار كخدمة (MaaS) متاح بموجب اشتراك قدره 1000 دولار شهريًا. يمكنه سرقة نطاق واسع من البيانات من الأجهزة المضيفة المصابة.
في الآونة الأخيرة، المبدعين”https://www.bleepingcomputer.com/news/security/atomic-macos-infostealer-adds-backdoor-for-persistent-attacks/” الهدف=”_blank” rel=”nofollow noopener”> تمت إضافة مكون مستتر إلى البرامج الضارة لمنح المشغلين إمكانات الوصول المستمر عن بعد.
أوديسي سارق,”https://www.cyfirma.com/research/odyssey-stealer-the-rebrand-of-poseidon-stealer/” الهدف=”_blank” rel=”nofollow noopener”> موثقة من قبل CYFIRMA الباحثون هذا الصيف، هي عائلة جديدة نسبيًا مشتقة من Poseidon Stealer، والتي كانت هي نفسها متشعبة من AMOS.
فهو يستهدف بيانات الاعتماد وملفات تعريف الارتباط المخزنة في متصفحات Chrome وFirefox وSafari، وأكثر من مائة امتداد لمحفظة العملات المشفرة، وبيانات Keychain، والملفات الشخصية، ويرسلها إلى المهاجمين بتنسيق ZIP.
يوصى بشدة ألا يقوم المستخدمون بلصق أوامر الوحدة الطرفية الموجودة عبر الإنترنت إذا لم يفهموا تمامًا ما يفعلونه.