Hujumchilar macOS foydalanuvchilari ma'lumotlarini keng ko'lamda o'g'irlashmoqda
2
41
0
Muhaddidlar (threat actors) zararli GitHub omborlariga tayanib, LastPassning macOS foydalanuvchilarini Atomic infostealer bilan zararlashmoqda.
LastPass xavfli guruhlar mashhur brendlarga taqlid qilib, macOS foydalanuvchilarini ma’lumot o‘g‘irlaydigan zararli dastur (malware) bilan yuqtirishga qaratilgan keng ko‘lamli kampaniya olib borayotgani haqida ogohlantirmoqda.
Infeksiya zanjiri doirasida hakerlar turli kompaniyalarga tegishli macOS dasturiy ta’minotini taklif qilayotgandek ko‘rsatib, soxta GitHub repolardan foydalanmoqda hamda ularning havolalari qidiruv tizimlarida yuqorida chiqishi uchun SEO usullaridan foydalanyapti.
“LastPass holatida, soxta repolar qurbonlarni Atomic infostealer zararli dasturini yuklab beradigan repoga yo‘naltirgan”, — deya bildiradi LastPass.
LastPass o‘z brendiga taqlid qilgan ikkita GitHub saytini aniqladi. Ular 16-sentabr kuni Microsoftga tegishli kod almashish platformasida joylashtirilgan va hozirda o‘chirib tashlangan.
Ikkalasi ham ‘modhopmduck476’ nomli foydalanuvchi tomonidan yuklangan bo‘lib, foydalanuvchilarga ‘LastPass on MacBook’ o‘rnatishni taklif qiluvchi havolalarni o‘z ichiga olgan, biroq barchasi bir xil zararli sahifaga yo‘naltirilgan.
‘LastPass Premium on MacBook’ni taklif qilayotgan sahifa foydalanuvchilarni macprograms-pro[.]com saytiga yo‘naltirgan, bu yerda ulardan terminal oynasiga ma’lum buyruqni nusxalab joylashtirish talab qilingan.
Mazkur buyruq shifrlangan URL manziliga CURL so‘rovini yuboradi va natijada ‘Update’ yuklamasi vaqtinchalik (Temp) jildiga tushadi.
Ushbu yuklama Atomic macOS Stealer (AMOS) deb nomlanuvchi ma’lumot o‘g‘irlagich bo‘lib, 2023-yildan beri ko‘plab hujumlarda qo‘llanib kelmoqda. Avgust oyida CrowdStrike AMOSning SHAMOS deb nomlangan varianti tarqatilayotgan soxta reklamalarning ko‘paygani haqida ogohlantirgan edi.
LastPass kuzatuvlariga ko‘ra, muhaddid guruhlar moliyaviy muassasalar, parol boshqaruvchilari, texnologiya kompaniyalari, sun’iy idrok vositalari, kriptovalyuta hamyonlari va boshqa turli bizneslarga taqlid qilmoqda.
Aniqlanishdan qochish uchun bu guruhlar bir nechta turli GitHub foydalanuvchi nomlaridan foydalanib, boshqa soxta GitHub sahifalarini yaratgan. Ular odatda bir xil nomlash uslubidan foydalangan bo‘lib, nishonga olingan kompaniya nomi va Mac’ga tegishli atamalarni qo‘shib ishlatgan.
LastPass aniqlagan kampaniya kamida iyul oyidan beri davom etib kelmoqda. O‘sha paytda Deriv kompaniyasi xavfsizlik tadqiqotchisi Dhiraj Mishra Homebrew foydalanuvchilari zararli reklama orqali soxta GitHub repolariga yo‘naltirilayotganidan ogohlantirgan edi.
Mishra ta’kidlaganidek, bu hujumlar foydalanuvchilarning Google Ads va GitHubga bo‘lgan ishonchidan foydalanadi va fon rejimida zararli faylni ishga tushirishni yashirish uchun rasmiy Homebrew ilovasi orqali o‘rnatadi.
