Av alle plattformer er MacOS ennå den tryggeste når det gjelder forekomsten av skadevare, men bildet er i rask endring. For en stund siden dukket det opp en farlig Mac-skadevare døpt Amos, og nå rapporteres det at denne er på ferde igjen med nye spredningsmetoder.
Sikkerhetsselskapet Malwarebytes rapporterer at Amos (Atomic macOS Stealer), som er en såkalt «stealer»-programvare, nå er i ferd med å spre seg til Mac-brukere gjennom falske nettleseroppdateringer. Blant andre nettstedet Techradar skrev om saken.
Sjeldent på Mac
Falske nettleseroppdateringer er en relativt utbredt måte for spredning av skadevare på Windows-plattformen, men som Malwarebytes peker på er metoden hittil ikke spesielt vanlig på Mac-plattformen.
Enda mer Mac-skadevare oppdaget på nettet: Retter seg mot én bestemt type brukere
De falske oppdateringene som denne seneste kampanjen benytter seg av, omfatter både Apples egen Safari-nettleser og Chrome. De sprer seg via nettsider som kontrolleres av bakmennene, og som etterligner de respektive selskapenes egne nettsider med høy grad av troverdighet.
De kompromitterte nettsidene som brukes til spredningen er i ferd med å bli tallrike, noe som bidrar til å heve trusselnivået, ifølge forskerne.
– Med en voksende liste av kompromitterte nettsider til disposisjon, er trusselaktørene i stand til å nå et brede publikum, og stjele legitimasjonsdata og filer som er av interesse som det kan tjenes penger på umiddelbart, eller som kan utnyttes til andre angrep, skriver Malwarebytes.
Kan stjele «alt»
Amos er en allsidig skadevare som er designet for stjele mange ulike typer data fra offerets maskin. I mai i år ble det rapportert at programvaren ble solgt på nettet som en abonnementstjeneste og markedsført blant annet på den anonyme meldingstjenesten Telegram.
Sikkerhetsforskere advarer: Mac-skadevare sprer seg gjennom Google-annonser
_logo.svg.png){kind=logo}
– Atomic macOS Stealer kan stjele ulike typer informasjon fra offerets maskin, inkludert Keychain-passord (Apples passordhåndteringstjeneste, journ.anm.), komplett systeminformasjon, filer fra desktop- og dokumentmappen, og til og med macOS-passordet, skrev sikkerhetsselskapet Cyble om programvaren den gang.
Skadevaren er også designet for å hente ut data fra en rekke ulike nettlesere, slik som autofill-data, passord, informasjonskapsler (cookies) og kredittkortinformasjon. Blant nettleserne som er rammet finner vi Chrome, Edge, Firefox, Opera, Vivaldi og Brave.
Spres også gjennom annonser
Digi.no omtalte Amos-skadevaren også i september i år, da det kom frem at bakmennene hadde begynt å bruke Google-annonser til å spre programvaren (krever abonnement).
Måten denne spredningsmetoden foregår på er at trusselaktørene bak skadevaren kjøper annonser som etterligner kjente navn og merkevarer som brukere leter etter gjennom Google-søk, gjerne nyttige programmer og apper.
Ved å klikke på disse annonsene tas offeret til en phishing-nettside hvor ved kommende villedes til å laste ned det ondsinnede programmet. Disse phishing-sidene har et autentisk utseende som gjør at det er lett for intetanende brukere å la seg lure.
Flere opplysninger om de seneste funnene finner man i Malwarebytes gjennomgang.
Utførte en av de største politiaksjonene mot skadevare noensinne: Nå er internett blitt litt tryggere
