⚡ Não perca: notícia importante no ar! ⚡
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma nova campanha de roubo de informações do AMOS está abusando dos anúncios de pesquisa do Google para atrair usuários para conversas Grok e ChatGPT que parecem oferecer instruções “úteis”, mas que acabam levando à instalação do malware de roubo de informações AMOS no macOS.
A campanha foi detectada pela primeira vez por pesquisadores da empresa de segurança cibernética Kaspersky ontem, enquanto a plataforma de segurança gerenciada Huntress publicou um relatório mais detalhado hoje cedo.
O ataque ClickFix começa com as vítimas pesquisando termos relacionados ao macOS, como perguntas de manutenção, solução de problemas ou Atlas, o navegador da Web com tecnologia de IA da OpenAI para macOS.
O anúncio do Google vincula diretamente às conversas do ChatGPT e Grok que foram compartilhadas publicamente na preparação para o ataque. Os bate-papos são hospedados em plataformas LLM legítimas e contêm instruções maliciosas usadas para instalar o malware.
Conversas maliciosas de ChatGPT (esquerda) e Grok (direita)Fonte: Huntress
"Durante nossa investigação, a equipe da Huntress reproduziu esses resultados envenenados em múltiplas variações da mesma pergunta, 'como limpar dados no iMac', 'limpar dados do sistema no iMac', 'liberar armazenamento no Mac', confirmando que este não é um resultado isolado, mas uma campanha de envenenamento deliberada e generalizada visando consultas comuns de solução de problemas", explicam os pesquisadores da Huntress.
Se os usuários caírem no truque e executarem os comandos do bate-papo AI no Terminal macOS, um URL codificado em base64 será decodificado em um script bash (atualização) que carrega uma caixa de diálogo de solicitação de senha falsa.
O script bashFonte: Huntress
Quando a senha é fornecida, o script a valida, armazena e usa para executar comandos privilegiados, como baixar o infostealer AMOS e executar o malware com privilégios de nível raiz.
O AMOS foi documentado pela primeira vez em abril de 2023. É uma operação de malware como serviço (MaaS) que aluga o infostealer por US$ 1.000/mês, visando exclusivamente sistemas macOS.
No início deste ano, o AMOS adicionou um módulo backdoor que permite que os operadores executem comandos em hosts infectados, registrem pressionamentos de teclas e descartem cargas adicionais.
O AMOS é colocado em /Users/$USER/ como um arquivo oculto (.helper). Quando iniciado, ele verifica a pasta de aplicativos em busca de Ledger Wallet e Trezor Suite. Se for encontrado, ele os substitui por versões trojanizadas que solicitam que a vítima insira sua frase-semente "por motivos de segurança".
Substituindo aplicativos de carteira criptografada por versões trojanizadasFonte: Huntress
AMOS também tem como alvo carteiras de criptomoedas da Electrum, Exodus, MetaMask, Ledger Live, Coinbase Wallet e outras; dados do navegador, como cookies, senhas salvas, dados de preenchimento automático e tokens de sessão; Dados do macOS Keychain, como senhas de aplicativos e credenciais de Wi-Fi; e arquivos no sistema de arquivos.
A persistência é obtida por meio de um LaunchDaemon (com.finder.helper.plist) executando um AppleScript oculto que atua como um loop de vigilância, reiniciando o malware em um segundo se for encerrado.
Esses últimos ataques ClickFix são mais um exemplo de agentes de ameaças experimentando novas maneiras de explorar plataformas legítimas e populares como OpenAI e X.
Os usuários precisam estar atentos e evitar executar comandos encontrados online, especialmente se não entenderem completamente o que fazem.
A Kaspersky observou que, mesmo depois de chegar a essas conversas manipuladas do LLM, uma simples pergunta de acompanhamento perguntando ao ChatGPT se as instruções fornecidas são seguras para execução revela que não são.
Divida silos IAM como Bitpanda, KnowBe4 e PathAI
IAM quebrado não é apenas um problema de TI – o impacto se espalha por todo o seu negócio.
Este guia prático aborda por que as práticas tradicionais de IAM não conseguem acompanhar as demandas modernas, exemplos de como é um IAM "bom" e uma lista de verificação simples para construir uma estratégia escalável.
Obtenha o guia
A campanha foi detectada pela primeira vez por pesquisadores da empresa de segurança cibernética Kaspersky ontem, enquanto a plataforma de segurança gerenciada Huntress publicou um relatório mais detalhado hoje cedo.
O ataque ClickFix começa com as vítimas pesquisando termos relacionados ao macOS, como perguntas de manutenção, solução de problemas ou Atlas, o navegador da Web com tecnologia de IA da OpenAI para macOS.
O anúncio do Google vincula diretamente às conversas do ChatGPT e Grok que foram compartilhadas publicamente na preparação para o ataque. Os bate-papos são hospedados em plataformas LLM legítimas e contêm instruções maliciosas usadas para instalar o malware.
Conversas maliciosas de ChatGPT (esquerda) e Grok (direita)Fonte: Huntress
"Durante nossa investigação, a equipe da Huntress reproduziu esses resultados envenenados em múltiplas variações da mesma pergunta, 'como limpar dados no iMac', 'limpar dados do sistema no iMac', 'liberar armazenamento no Mac', confirmando que este não é um resultado isolado, mas uma campanha de envenenamento deliberada e generalizada visando consultas comuns de solução de problemas", explicam os pesquisadores da Huntress.
Se os usuários caírem no truque e executarem os comandos do bate-papo AI no Terminal macOS, um URL codificado em base64 será decodificado em um script bash (atualização) que carrega uma caixa de diálogo de solicitação de senha falsa.
O script bashFonte: Huntress
Quando a senha é fornecida, o script a valida, armazena e usa para executar comandos privilegiados, como baixar o infostealer AMOS e executar o malware com privilégios de nível raiz.
O AMOS foi documentado pela primeira vez em abril de 2023. É uma operação de malware como serviço (MaaS) que aluga o infostealer por US$ 1.000/mês, visando exclusivamente sistemas macOS.
No início deste ano, o AMOS adicionou um módulo backdoor que permite que os operadores executem comandos em hosts infectados, registrem pressionamentos de teclas e descartem cargas adicionais.
O AMOS é colocado em /Users/$USER/ como um arquivo oculto (.helper). Quando iniciado, ele verifica a pasta de aplicativos em busca de Ledger Wallet e Trezor Suite. Se for encontrado, ele os substitui por versões trojanizadas que solicitam que a vítima insira sua frase-semente "por motivos de segurança".
Substituindo aplicativos de carteira criptografada por versões trojanizadasFonte: Huntress
AMOS também tem como alvo carteiras de criptomoedas da Electrum, Exodus, MetaMask, Ledger Live, Coinbase Wallet e outras; dados do navegador, como cookies, senhas salvas, dados de preenchimento automático e tokens de sessão; Dados do macOS Keychain, como senhas de aplicativos e credenciais de Wi-Fi; e arquivos no sistema de arquivos.
A persistência é obtida por meio de um LaunchDaemon (com.finder.helper.plist) executando um AppleScript oculto que atua como um loop de vigilância, reiniciando o malware em um segundo se for encerrado.
Esses últimos ataques ClickFix são mais um exemplo de agentes de ameaças experimentando novas maneiras de explorar plataformas legítimas e populares como OpenAI e X.
Os usuários precisam estar atentos e evitar executar comandos encontrados online, especialmente se não entenderem completamente o que fazem.
A Kaspersky observou que, mesmo depois de chegar a essas conversas manipuladas do LLM, uma simples pergunta de acompanhamento perguntando ao ChatGPT se as instruções fornecidas são seguras para execução revela que não são.
Divida silos IAM como Bitpanda, KnowBe4 e PathAI
IAM quebrado não é apenas um problema de TI – o impacto se espalha por todo o seu negócio.
Este guia prático aborda por que as práticas tradicionais de IAM não conseguem acompanhar as demandas modernas, exemplos de como é um IAM "bom" e uma lista de verificação simples para construir uma estratégia escalável.
Obtenha o guia
#samirnews #samir #news #boletimtec #anúncios #do #google #para #chatgpt #compartilhado #e #guias #grok #empurram #malware #infostealer #para #macos
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário