COOKIE SPIDERs Malvertising verbreitet neue SHAMOS-MacOS-Malware

CrowdStrike meldet, dass COOKIE SPIDER Malvertising nutzt, um die SHAMOS macOS-Malware (eine neue Variante des Infostealers AMOS) zu verbreiten, Anmeldeinformationen und Krypto-Wallets zu stehlen und über 300 Umgebungen ins Visier zu nehmen.

Zwischen Juni und August dieses Jahres wurden macOS-Nutzer, die nach Lösungen für alltägliche technische Probleme suchten, von einer Kampagne der Cybercrime-Gruppe COOKIE SPIDER ins Visier genommen. Die Angreifer kauften Anzeigen, die als seriöse Hilfeseiten aussahen. Doch anstatt echte Lösungen anzubieten, forderten diese Seiten die Besucher auf, einen einzeiligen Befehl im Terminal auszuführen. Dieser Befehl übertrug SHAMOS, eine neue Variante des Infostealers AMOS , auf ihre Systeme.

Zu Ihrer Information: Einzeilige Installationsbefehle sind eine Technik, die Cyberkriminelle zunehmend bevorzugen, da sie die Sicherheitsprüfungen von macOS Gatekeeper umgehen und die Installation der Malware ohne Auslösen von Warnungen ermöglichen. Frühere Malware-Angriffe auf macOS-Geräte, insbesondere der durch Cuckoo Stealer und frühere AMOS-Varianten , verwendeten denselben Ansatz.

Laut den Cybersicherheitsforschern von CrowdStrike, die die Malvertising-Kampagne von COOKIE SPIDER identifizierten, handelte es sich um eine groß angelegte Kampagne, die auf mehr als 300 Kundenumgebungen mit Opfern in den USA, Großbritannien, Japan, Kanada, Italien, Mexiko, China und Kolumbien abzielte.

Der Erfolg der Kampagne hing maßgeblich von ihrer Einfachheit ab. So wurde beispielsweise ein Nutzer, der nach einem gängigen macOS-Fix suchte, wie etwa „macOS flush resolver cache“, auf die beworbene Website mac-safercom weitergeleitet, die seriös aussah. Die Seiten enthielten scheinbar hilfreiche Anweisungen, waren aber darauf ausgelegt, Besucher zum Kopieren und Ausführen eines schädlichen Befehls zu verleiten.

Zu den Anweisungen gehörte ein Befehl, den die Benutzer in das Terminal einfügen konnten, woraufhin ein Bash-Skript heruntergeladen wurde. Das Skript erfasste das Passwort des Benutzers und rief anschließend die SHAMOS-Nutzlast von einem Remote-Server ab.

Im Blogbeitrag von CrowdStrike wird darauf hingewiesen, dass SHAMOS, sobald es auf einem infizierten Gerät ausgeführt wird, Systeme auf vertrauliche Informationen wie Schlüsselbunddaten für Apple Notes, Browseranmeldeinformationen und sogar Kryptowährungs-Wallets überprüft.

Die Malware speichert dann alles in einem ZIP-Archiv zur Exfiltration. Sie kann auch zusätzliche Nutzdaten herunterladen, darunter eine gefälschte Ledger Live Wallet-App und ein Botnet-Modul, was sie zu einer noch größeren Bedrohung für die Cybersicherheit macht, als sie ohnehin schon ist.

Die Verbreitungsmethode von SHAMOS war ebenso wichtig wie die Malware selbst. Durch Malvertising erlangten sie einen stetigen Zustrom ahnungsloser Opfer. In einigen Fällen schienen die Anzeigen mit seriösen Unternehmen verknüpft zu sein, beispielsweise einem australischen Elektronikgeschäft. Dies deutete darauf hin, dass die Kriminellen Firmenidentitäten fälschten, um Glaubwürdigkeit zu erlangen.

Mit dieser Taktik wirkten gefälschte Hilfedomänen wie mac-safercom und rescue-maccom vertrauenswürdig genug, sodass Benutzer ihren Anweisungen folgten. CrowdStrike beobachtete außerdem Hinweise darauf, dass die Malware eine schädliche Property-List-Datei (plist) im LaunchDaemons- Verzeichnis des Benutzers platzierte. Außerdem verwendete sie wiederholte Curl-Befehle, die auf Botnet-Aktivitäten hindeuteten.

Neben Malvertising stellten die Forscher fest, dass die Malware auch GitHub zur Offenlegung nutzte, darunter gefälschte Repositories, die sich als legitime Softwareprojekte ausgaben, um Benutzer zur Ausführung bösartiger Befehle zu verleiten. Ein Beispiel dafür war ein gefälschtes iTerm2-Repository mit nahezu identischen Anweisungen zum Herunterladen von SHAMOS.

„Diese Kampagne ist clever. Die Angreifer zielen auf technisch weniger versierte Benutzer ab, die sie durch die Suche nach Hilfe zu grundlegenden Problemen profiliert haben, und geben ihnen Schritt-für-Schritt-Anleitungen zur Installation ihrer Malware“, bemerkte Trey Ford , Chief Strategy and Trust Officer bei Bugcrowd, einer Crowdsourcing-Plattform für Cybersicherheit mit Sitz in San Francisco, Kalifornien.

„Diese Art von Angriff ist wahrscheinlich vor allem im KMU- und Privatanwendersegment wirksam. Ich würde erwarten, dass Unternehmen, die CrowdStrike-Angebote nutzen, solche bösartigen Installationen über ihre Software zur privilegierten Kontoverwaltung (PAM) blockieren lassen“, sagte er.

Diese Kampagne zeigt, dass macOS-Geräte nicht vor Malware-Angriffen sicher sind. Nutzen Sie daher Suchmaschinen, klicken Sie auf deren Ergebnisse jedoch auf eigene Gefahr. Die zuverlässigste Methode, um zu überprüfen, ob ein Link schädlich ist, ist die Verwendung einer vertrauenswürdigen Antiviren-Browsererweiterung, die URLs vor dem Öffnen scannt, oder die Website vor dem Besuch mit VirusTotal zu scannen.