LastPass 警告 GitHub 騙局感染 Mac
網絡犯罪分子正在加大對 Mac 用戶的攻擊力度,使用虛假的 GitHub 存儲庫來傳播偽裝成合法應用程序的惡意軟件。
LastPass(一款在線存儲加密密碼的免費增值密碼管理器)的安全研究人員發現了這一廣泛傳播的活動,該活動冒充來自 LastPass、1Password、Dropbox、Notion、Robinhood、Adobe After Effects 甚至花旗銀行等知名公司和應用程序。
該計劃的核心是 Atomic Stealer(也稱為 AMOS),這是一款自 2023 年以來一直在傳播的惡意軟件。它是不斷發展的“惡意軟件即服務”經濟的一部分,使得網絡犯罪分子無需深厚的技術專業知識即可輕鬆發起活動。
安裝後,它可以從受害者的 Mac 上獲取密碼、保存的瀏覽器 cookie、加密錢包密鑰、銀行憑證和其他敏感數據,這些數據可能會被出售或用於欺詐。
建議閱讀:SafeUnlocks 是合法的還是騙局:全面審查
騙局是如何運作的
攻擊者創建看起來像 macOS 官方軟件下載的 GitHub 頁面,通常使用“Install on MacBook”或“Premium for Mac”等關鍵字精心命名,以使它們看起來值得信賴。
為了引誘受害者,網絡犯罪分子使用積極的搜索引擎優化 (SEO) 將這些惡意頁面推到 Google 和 Bing 搜索結果的頂部。
任何尋找這些應用程序的 Mac 版本的人可能會在沒有意識到的情況下輕鬆點擊其中一個虛假鏈接。單擊這些下載鏈接會將用戶發送到另一個站點,並告知他們將命令複製並粘貼到 Mac 終端中以安裝該應用程序。該命令會默默地引入 AMOS 惡意軟件並安裝它,通常偽裝成“更新”。
LastPass 表示,該活動依賴於“ClickFix”社會工程技巧——促使用戶快速遵循技術說明,而不了解幕後發生的情況。
LastPass 回應
LastPass 報告稱,本月早些時候發現至少兩個 GitHub 頁面冒充其自己的 Mac 應用程序。兩者都在被標記後被刪除,但攻擊者正在積極創建多個帳戶,以保持領先地位。
LastPass 威脅情報、緩解和升級 (TIME) 團隊總監 Alex Cox 表示:“我們迅速採取行動,識別並報告了冒充 LastPass 的欺詐性 GitHub 頁面,這些頁面現已被刪除。我們將繼續監控這一活動,並與行業合作夥伴合作破壞其基礎設施。”
該公司公佈了一份名單妥協指標 (IoC)— 包括惡意 URL 和文件哈希列表 — 幫助發現攻擊並阻止相關威脅。
用戶應該做什麼
安全專家表示,最安全的做法是僅從官方供應商網站或 Mac App Store 下載應用程序。其他提示包括:
- 不要相信您不熟悉的 GitHub 存儲庫。
- 避免運行終端命令,除非它們來自經過驗證的可信來源。
- 使用最新的防病毒或端點安全工具,即使惡意軟件被執行,也可以捕獲可疑行為。
外賣
該活動表明,受信任的平台(在本例中為 GitHub 和 Google 搜索結果)是多麼容易被濫用。如果您懷疑自己下載了這些虛假應用程序之一,請將您的密碼和財務數據視為已洩露。立即更改您的憑據,檢查您的財務和加密帳戶是否存在可疑活動,並在您的 Mac 上運行全面的安全掃描。
