A „ClearFake” hamis böngészőfrissítési kampány a macOS-re is kiterjedt, és az Atomic Stealer (AMOS) rosszindulatú szoftverrel támadja az Apple számítógépeket.
A ClearFake kampány idén júliusban indult, a Windows felhasználókat célozza meg hamis Chrome frissítésekkel, amelyek JavaScript injekciókon keresztül jelennek meg a feltört webhelyeken. Ezek a támadások a szokásos Chrome felületen kívül egy Safari frissítés csalit is alkalmaznak. Ezekben az esetekben a payload az Atomic, egy információlopó szoftver.
Az Atomicot 2023 áprilisában fedezte fel a Trellix és a Cyble, akik arról számoltak be, hogy megpróbálja ellopni a böngészőkben tárolt jelszavakat, sütiket és hitelkártya adatokat, helyi fájlokat, több mint 50 kripto bővítmény adatait és a Kulcskarikán tárolt jelszavakat.
A Kulcskarika a macOS beépített jelszókezelője, amely WiFi jelszavakat, weboldal bejelentkezéseket, hitelkártya adatokat és egyéb titkosított információkat tárol, így a kompromittálása jelentős sérülést eredményezhet az áldozat számára.
A ClearFake kampány, amely most a Mac-eket célozza meg, emlékezteti az Apple felhasználókat arra, hogy erősítsék meg biztonságukat, és legyenek óvatosak a letöltésekkel, különösen akkor, ha a böngészőjük frissítésére szólítják fel a meglátogatott webhelyek.
Minden Safari böngészőfrissítés a macOS szoftverfrissítésén keresztül, vagy más böngészők esetében magán a böngészőn belül kerül terjesztésre. Ezért, ha a weboldalakon böngészőfrissítések letöltésére vonatkozó felszólításokat lát, azokat hagyja figyelmen kívül.
Az Atomicról szóló jelentéseket követően több hónap elteltével, a payload-ot a VirusTotal AV-motorok nagyjából 50%-a nem észlelte.
