Egy új, macOS rendszereket célzó ClickFix kampány során a támadók Terminál-parancsokat használnak arra, hogy észrevétlenül töltsenek le, csatoljanak és indítsanak el egy információlopó kártevőt rosszindulatú lemezképfájlokból (DMG). A támadás az Atomic macOS Stealer (AMOS) nevű infostealert telepíti a fertőzött Mac eszközökre, amely képes böngészőben tárolt hitelesítő adatok, kriptovaluta-tárcák információi, Keychain-adatok, üzenetküldő alkalmazások adatai, valamint felhasználói dokumentumok eltulajdonítására.
A Palo Alto Networks Unit 42 kutatói fedezték fel először a kampányt. A támadási lánc egy hamis CAPTCHA-oldallal kezdődik, amely arra utasítja a felhasználót, hogy nyissa meg a Terminált, majd illesszen be és futtasson egy parancsot.
A parancs végrehajtását követően egy támadók által felügyelt szerverről letöltődik egy DMG-fájl, amelyet a rendszer a macOS natív hdiutil segédprogramjával csendben csatol. Ezt követően a parancs megkeresi a lemezképben található alkalmazáscsomagot, majd automatikusan elindítja azt.
Bár a DMG-fájlokat használó ClickFix támadások nem számítanak újdonságnak, a korábbi kampányok jellemzően arra építettek, hogy a felhasználók manuálisan nyissák meg a letöltött lemezképfájlokat, majd onnan indítsák el a rosszindulatú alkalmazásokat, támadók által vezérelt szerverekről futtatott szkripteket.
A Palo Alto által azonosított kampány e két megközelítést ötvözi: a Terminál-parancs automatikusan letölti a DMG-fájlt, majd elindítja a benne található kártevőt, mindezt a háttérben, a felhasználó számára alig látható módon.
A Terminál-parancs futtatása után a támadás az svs-verificationdate[.]beer domainről tölti le a rosszindulatú DMG-fájlt a curl eszköz segítségével, a csendes működést biztosító „-fsSL” kapcsolókkal. A fájl a /tmp könyvtárba kerül mentésre egy véletlenszerűen generált néven.
Ezt követően a parancs végrehajtja a „hdiutil attach -nobrowse” utasítást, amely úgy csatolja a letöltött lemezképet, hogy az sem a Finderben, sem az asztalon nem jelenik meg. A szkript ezután legfeljebb három könyvtárszint mélységig keres egy .app vagy .pkg kiterjesztésű telepítőt. Amennyiben talál ilyet, a macOS open parancsával automatikusan elindítja azt.
A kutatók megfigyelései szerint a kártevő egy „s.01M0td[.]dmg” nevű lemezképfájlban érkezik, amely egy „NNApp[.]app” nevű, saját aláírással rendelkező alkalmazáscsomagot tartalmazott.
A kártevő egy hamis Rendszerbeállítások-hitelesítési ablakot is megjelenít, amely arra kéri a felhasználót, hogy adja meg a jelszavát. A megadott jelszó ezután a támadók kezébe kerül. A malware nyolc Chromium-alapú böngészőt céloz meg: a Google Chrome, Microsoft Edge, Brave, Opera, Arc, Vivaldi, CocCoc és Yandex böngészőket. Ezekből sütiket, bejelentkezési adatbázisokat, automatikus kitöltési adatokat, mentett bankkártyaadatokat és böngészőprofil-információkat lop el. A fenyegetés emellett Firefox-alapú böngészőket is célba vesz, köztük a LibreWolf, SeaMonkey, Tor Browser, Waterfox és Zen Browser alkalmazásokat, amelyekből ugyanezeket az adatokat gyűjti össze.
A Palo Alto szerint a kártevő számos kriptovaluta-tárca adatait is keresi és eltulajdonítja, többek között az Exodus, Electrum, Atomic Wallet, Wasabi Wallet, Bitcoin Core, Litecoin Core, DashCore, Guarda, Binance Wallet, Dogecoin Wallet és TonKeeper tárcákból.
A malware mindezeken felül megszerzi a Telegram Desktop és a Discord alkalmazások adatait, az Apple Notes adatbázisait, a Safari böngésző sütijeit, az Apple Keychain adatbázisfájljait, valamint a PDF, TXT és RTF kiterjesztésű felhasználói dokumentumokat.
Az összegyűjtött adatokat a kártevő egy ZIP-archívumba csomagolja, majd feltölti a támadók szerverére, ahonnan azok később letölthetik és feldolgozhatják az információkat.
Általános biztonsági alapelvként a felhasználóknak rendkívül körültekintően kell eljárniuk minden olyan weboldallal szemben, amely Terminál megnyitására és parancsok futtatására szólít fel. Ez különösen igaz akkor, ha az utasításokat CAPTCHA-ellenőrzés, böngészőhiba javítása vagy egyéb hibaelhárítási folyamat részeként tüntetik fel. Amennyiben egy parancs működését és hatását nem érti teljes bizonyossággal, azt semmilyen körülmények között ne futtassa!