🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma nova campanha macOS ClickFix está usando comandos do Terminal para baixar, montar e lançar silenciosamente malware que rouba informações de arquivos maliciosos de imagem de disco (DMG).
A campanha está infectando dispositivos Mac com o infostealer Atomic macOS Stealer (AMOS), que rouba credenciais do navegador, dados de carteiras de criptomoedas, dados de chaves, informações de aplicativos de mensagens e documentos de usuários.
Pesquisadores da Unidade 42 da Palo Alto Networks descobriram a campanha pela primeira vez e dizem que ela começa com uma página CAPTCHA falsa que diz aos usuários para abrirem o Terminal e colarem um comando malicioso para se verificarem.
Uma vez executado, o comando baixa um arquivo DMG de um servidor controlado pelo invasor, monta-o silenciosamente com o utilitário hdiutil nativo do macOS, localiza o pacote de aplicativos que ele contém e o inicia automaticamente.
ClickFix é uma técnica de engenharia social que exibe CAPTCHAs falsos, erros de navegador ou alertas de sistema para induzir os visitantes a copiar e executar "instruções de correção" fornecidas pelo invasor. A popularidade da técnica cresceu entre os agentes de ameaças no ano passado e tem sido usada tanto por cibercriminosos quanto por grupos de hackers patrocinados pelo Estado para distribuir malware.
Embora os ataques ClickFix envolvendo DMGs não sejam novos, as campanhas anteriores normalmente dependiam de usuários abrindo manualmente arquivos DMG baixados para iniciar aplicativos maliciosos ou executar scripts de servidores controlados pelo invasor.
A campanha detectada por Palo Alto combina ambas as abordagens usando um comando Terminal para baixar silenciosamente um arquivo DMG e lançar o malware que ele contém.
Comando de terminal malicioso usado como verificação falsa de CaptchaFonte: Palo Alto Networks Unit42
Depois de executar o comando Terminal, o ataque baixa um DMG malicioso de svs-verificationdate[.]beer usando curl com os sinalizadores silenciosos "-fsSL" e o salva na pasta /tmp com um nome de arquivo aleatório.
O comando então executa ‘hdiutil attachment -nobrowse’ para montar a imagem de disco baixada sem exibi-la no Finder ou na área de trabalho.
O script então pesquisa em até três nÃveis de diretório o primeiro instalador .app ou .pkg disponÃvel e, se algum for encontrado, inicia-o usando o comando open do macOS .
Os pesquisadores observaram que o malware era entregue como uma imagem de disco chamada “s.01M0td.dmg”, que montava um volume contendo um pacote de aplicativos autoassinado chamado “NNApp.app”.
Essa carga faz parte da famÃlia Atomic macOS Stealer, que é usada para roubar credenciais, histórico do navegador, tokens de autenticação e carteiras de criptomoedas de dispositivos infectados.
Fluxo de ataque do InfostealerFonte: Palo Alto Networks Unit42
O ladrão exibirá uma solicitação falsa de autenticação nas Preferências do Sistema, solicitando que o usuário insira a senha, permitindo que o malware a roube.
Segundo os pesquisadores, o malware tem como alvo oito navegadores baseados em Chromium, incluindo Google Chrome, Microsoft Edge, Brave, Opera, Arc, Vivaldi, CocCoc e Yandex. Ele rouba cookies, bancos de dados de login, informações de preenchimento automático, cartões de pagamento armazenados e dados de perfil do navegador.
O ladrão também tem como alvo navegadores derivados do Firefox, incluindo LibreWolf, SeaMonkey, Tor Browser, Waterfox e Zen Browser, roubando as mesmas informações.
Palo Alto diz que o malware procura e rouba dados de carteiras de criptomoedas, incluindo Exodus, Electrum, Atomic Wallet, Wasabi Wallet, Bitcoin Core, Litecoin Core, DashCore, Guarda, Binance Wallet, Dogecoin Wallet e TonKeeper.
O malware também rouba dados do Telegram Desktop e Discord, bancos de dados do Apple Notes, cookies do Safari, arquivos de banco de dados do Apple Keychain e documentos do usuário com extensões PDF, TXT ou RTF.
Todos os dados coletados são então armazenados em um arquivo ZIP e carregados no servidor do invasor, onde o invasor pode recuperá-los.
De particular interesse, os pesquisadores descobriram que o malware substituirá instalações legÃtimas do Ledger Live e do Trezor Suite por versões maliciosas, com probabilidade de realizar roubo de criptografia.
A campanha foi observada usando servidores de comando e controle em svs-verificationdate[.]beer e 196.251.107[.]171.
Como regra geral, os usuários devem sempre ser cautelosos quando os sites os instruem a abrir o Terminal e executar comandos. Isso é especialmente verdadeiro quando eles afirmam fazer parte de verificações CAPTCHA, correções de navegador ou outras etapas de solução de problemas.
Se você não entende 100% o que um comando faz, não o execute.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o white paper
A campanha está infectando dispositivos Mac com o infostealer Atomic macOS Stealer (AMOS), que rouba credenciais do navegador, dados de carteiras de criptomoedas, dados de chaves, informações de aplicativos de mensagens e documentos de usuários.
Pesquisadores da Unidade 42 da Palo Alto Networks descobriram a campanha pela primeira vez e dizem que ela começa com uma página CAPTCHA falsa que diz aos usuários para abrirem o Terminal e colarem um comando malicioso para se verificarem.
Uma vez executado, o comando baixa um arquivo DMG de um servidor controlado pelo invasor, monta-o silenciosamente com o utilitário hdiutil nativo do macOS, localiza o pacote de aplicativos que ele contém e o inicia automaticamente.
ClickFix é uma técnica de engenharia social que exibe CAPTCHAs falsos, erros de navegador ou alertas de sistema para induzir os visitantes a copiar e executar "instruções de correção" fornecidas pelo invasor. A popularidade da técnica cresceu entre os agentes de ameaças no ano passado e tem sido usada tanto por cibercriminosos quanto por grupos de hackers patrocinados pelo Estado para distribuir malware.
Embora os ataques ClickFix envolvendo DMGs não sejam novos, as campanhas anteriores normalmente dependiam de usuários abrindo manualmente arquivos DMG baixados para iniciar aplicativos maliciosos ou executar scripts de servidores controlados pelo invasor.
A campanha detectada por Palo Alto combina ambas as abordagens usando um comando Terminal para baixar silenciosamente um arquivo DMG e lançar o malware que ele contém.
Comando de terminal malicioso usado como verificação falsa de CaptchaFonte: Palo Alto Networks Unit42
Depois de executar o comando Terminal, o ataque baixa um DMG malicioso de svs-verificationdate[.]beer usando curl com os sinalizadores silenciosos "-fsSL" e o salva na pasta /tmp com um nome de arquivo aleatório.
O comando então executa ‘hdiutil attachment -nobrowse’ para montar a imagem de disco baixada sem exibi-la no Finder ou na área de trabalho.
O script então pesquisa em até três nÃveis de diretório o primeiro instalador .app ou .pkg disponÃvel e, se algum for encontrado, inicia-o usando o comando open do macOS .
Os pesquisadores observaram que o malware era entregue como uma imagem de disco chamada “s.01M0td.dmg”, que montava um volume contendo um pacote de aplicativos autoassinado chamado “NNApp.app”.
Essa carga faz parte da famÃlia Atomic macOS Stealer, que é usada para roubar credenciais, histórico do navegador, tokens de autenticação e carteiras de criptomoedas de dispositivos infectados.
Fluxo de ataque do InfostealerFonte: Palo Alto Networks Unit42
O ladrão exibirá uma solicitação falsa de autenticação nas Preferências do Sistema, solicitando que o usuário insira a senha, permitindo que o malware a roube.
Segundo os pesquisadores, o malware tem como alvo oito navegadores baseados em Chromium, incluindo Google Chrome, Microsoft Edge, Brave, Opera, Arc, Vivaldi, CocCoc e Yandex. Ele rouba cookies, bancos de dados de login, informações de preenchimento automático, cartões de pagamento armazenados e dados de perfil do navegador.
O ladrão também tem como alvo navegadores derivados do Firefox, incluindo LibreWolf, SeaMonkey, Tor Browser, Waterfox e Zen Browser, roubando as mesmas informações.
Palo Alto diz que o malware procura e rouba dados de carteiras de criptomoedas, incluindo Exodus, Electrum, Atomic Wallet, Wasabi Wallet, Bitcoin Core, Litecoin Core, DashCore, Guarda, Binance Wallet, Dogecoin Wallet e TonKeeper.
O malware também rouba dados do Telegram Desktop e Discord, bancos de dados do Apple Notes, cookies do Safari, arquivos de banco de dados do Apple Keychain e documentos do usuário com extensões PDF, TXT ou RTF.
Todos os dados coletados são então armazenados em um arquivo ZIP e carregados no servidor do invasor, onde o invasor pode recuperá-los.
De particular interesse, os pesquisadores descobriram que o malware substituirá instalações legÃtimas do Ledger Live e do Trezor Suite por versões maliciosas, com probabilidade de realizar roubo de criptografia.
A campanha foi observada usando servidores de comando e controle em svs-verificationdate[.]beer e 196.251.107[.]171.
Como regra geral, os usuários devem sempre ser cautelosos quando os sites os instruem a abrir o Terminal e executar comandos. Isso é especialmente verdadeiro quando eles afirmam fazer parte de verificações CAPTCHA, correções de navegador ou outras etapas de solução de problemas.
Se você não entende 100% o que um comando faz, não o execute.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o white paper
#samirnews #samir #news #boletimtec #novo #ataque #macos #clickfix #monta #silenciosamente #dmgs #para #enviar #infostealer
🚀 Mais conteúdos incrÃveis estão por vir, fique atento!
Postar um comentário