Peneliti cybersecurity memperingatkan kampanye malware baru yang menggunakan Taktik Rekayasa Sosial ClickFix untuk menipu pengguna agar mengunduh malware pencuri informasi yang dikenal sebagai Atomic MacOS Stealer (AMOS) pada sistem Apple MacOS.
Kampanye, menurut Cloudsek, telah ditemukan untuk memanfaatkan domain Typosquat yang meniru spektrum penyedia telekomunikasi yang berbasis di AS.
“Pengguna macOS dilayani skrip shell berbahaya yang dirancang untuk mencuri kata sandi sistem dan mengunduh varian AMOS untuk eksploitasi lebih lanjut,” kata peneliti keamanan Koushik Pal dalam sebuah laporan yang diterbitkan minggu ini. “Script menggunakan perintah macOS asli untuk memanen kredensial, memotong mekanisme keamanan, dan menjalankan binari berbahaya.”
Dipercayai bahwa kegiatan ini adalah karya penjahat cyber berbahasa Rusia karena adanya komentar bahasa Rusia dalam kode sumber malware.
Titik awal serangan adalah halaman web yang menyamar sebagai spektrum (“spektrum panel[.]NET “atau”-Tiket Spektrum[.]net “). Pengunjung ke Situs yang dimaksud dilayani pesan yang menginstruksikan mereka untuk menyelesaikan pemeriksaan verifikasi HCAPTCHA untuk untuk” meninjau keamanan “hubungan mereka sebelum melanjutkan lebih lanjut.
Namun, ketika pengguna mengklik kotak centang “I Am Human” untuk evaluasi, mereka ditampilkan pesan kesalahan yang menyatakan “Verifikasi CAPTCHA gagal,” mendesak mereka untuk mengklik tombol untuk melanjutkan dengan “verifikasi alternatif.”
Melakukan hal itu menyebabkan perintah disalin ke clipboard pengguna dan korban ditampilkan serangkaian instruksi tergantung pada sistem operasi mereka. Sementara mereka dipandu untuk menjalankan perintah PowerShell di Windows dengan membuka dialog Windows Run, itu diganti dengan skrip shell yang dieksekusi dengan meluncurkan aplikasi terminal pada macOS.
Skrip shell, untuk bagiannya, meminta pengguna untuk memasukkan kata sandi sistem mereka dan mengunduh muatan tahap berikutnya, dalam hal ini, pencuri yang dikenal bernama atomik pencuri.
“Logika yang diimplementasikan dengan buruk di lokasi pengiriman, seperti instruksi yang tidak cocok di seluruh platform, menunjuk ke infrastruktur yang dirakit dengan tergesa -gesa,” kata Pal.
“Halaman pengiriman yang dipertanyakan untuk kampanye varian AMOS ini berisi ketidakakuratan baik dalam pemrograman dan logika front-end. Untuk agen pengguna Linux, perintah PowerShell disalin. Selain itu, instruksi 'tekan & tahan Windows Key + R' ditampilkan untuk pengguna Windows dan MAC.”
Pengungkapan datang di tengah lonjakan kampanye menggunakan Taktik ClickFix untuk memberikan berbagai keluarga malware selama setahun terakhir.
“Aktor yang melakukan serangan yang ditargetkan ini biasanya menggunakan teknik, alat, dan prosedur (TTP) yang serupa untuk mendapatkan akses awal,” kata Darktrace. “Ini termasuk serangan phishing tombak, kompromi drive-by, atau mengeksploitasi kepercayaan pada platform online yang akrab, seperti GitHub, untuk memberikan muatan berbahaya.”
Tautan yang didistribusikan menggunakan vektor-vektor ini biasanya mengarahkan pengguna akhir ke URL berbahaya yang menampilkan pemeriksaan verifikasi captcha palsu dan melengkapinya dalam upaya untuk menipu pengguna agar berpikir bahwa mereka melakukan sesuatu yang tidak berbahaya, ketika, pada kenyataannya, mereka dipandu untuk melaksanakan perintah jahat untuk memperbaiki masalah yang tidak ada.
Hasil akhir dari metode rekayasa sosial yang efektif ini adalah bahwa pengguna pada akhirnya mengkompromikan sistem mereka sendiri, secara efektif melewati kontrol keamanan.
Dalam satu insiden April 2025 yang dianalisis oleh Darktrace, aktor ancaman yang tidak diketahui ditemukan untuk menggunakan clickFix sebagai vektor serangan untuk mengunduh muatan yang tidak jelas untuk menggali lebih dalam ke lingkungan target, melakukan gerakan lateral, mengirim informasi yang terkait dengan sistem ke server eksternal melalui permintaan post http, dan akhirnya data eksfiltrat.
“CLICKFIX Baiting adalah taktik yang banyak digunakan di mana aktor ancaman mengeksploitasi kesalahan manusia untuk memotong pertahanan keamanan,” kata Darktrace. “Dengan menipu pengguna titik akhir agar melakukan tindakan sehari -hari yang tampaknya tidak berbahaya, penyerang mendapatkan akses awal ke sistem di mana mereka dapat mengakses dan mengeluarkan data sensitif.”
Serangan clickFix lainnya telah menggunakan versi palsu dari layanan captcha populer lainnya seperti Google Recaptcha dan Cloudflare Turnstile untuk pengiriman malware dengan kedok pemeriksaan keamanan rutin.
Halaman-halaman palsu ini adalah “salinan piksel-sempurna” dari rekan-rekan mereka yang sah, kadang-kadang bahkan disuntikkan ke situs web nyata-tetapi-hancur untuk menipu pengguna yang tidak curiga. Pencuri seperti Lumma dan StealC, serta Trojans akses jarak jauh (tikus) seperti Netsupport Rat adalah beberapa muatan yang didistribusikan melalui halaman pintu putar palsu.
“Pengguna internet modern dibanjiri dengan pemeriksaan spam, captcha, dan petunjuk keamanan di situs web, dan mereka telah dikondisikan untuk mengklik ini secepat mungkin,” kata Daniel Kelley dari Slashnext. “Penyerang mengeksploitasi 'kelelahan verifikasi' ini, mengetahui bahwa banyak pengguna akan mematuhi langkah apa pun yang disajikan jika terlihat rutin.”
