Вредоносное ПО распространялось через верифицированную рекламу на платформе X*
Лаборатория безопасности Jamf Threat Labs обнаружила рекламную кампанию, распространяющую вредоносное программное обеспечение. Атака, выполненная в стиле ClickFix, была замечена в виде спонсируемой рекламы на платформе X*. Примечательно, что объявление исходило от известного верифицированного аккаунта и продвигало вредоносный домен под видом популярного приложения для Mac.
Содержание страницы
Детали атаки и вредоносное ПО
Рекламное объявление маскировалось под DynamicLake — легитимную утилиту для Mac, которая превращает вырез в экране MacBook в неофициальный, но полностью функциональный «Динамический остров» (интерактивная область в верхней части экрана, появившаяся на некоторых моделях iPhone). Однако, как показало расследование Jamf, первоначальная ссылка вела на вредоносный домен dynamicmacisland[.]com, не имеющий отношения к настоящему приложению.
После перехода по ссылке посетителям предлагалось открыть приложение «Терминал» (программу для ввода команд в операционной системе) и вставить туда установочный код, который незаметно устанавливал вредоносное ПО на их Mac. Эта техника является классическим примером атак социальной инженерии типа ClickFix, когда пользователей обманом заставляют выполнить действия, которые устанавливают вредоносное ПО. Следует отметить, что легитимные приложения, подписанные и нотариально заверенные Apple (прошедшие проверку Apple на наличие вредоносного ПО), никогда не требуют таких действий для установки.
Jamf идентифицировала полезную нагрузку как недавний вариант вредоносного ПО Atomic Stealer, отслеживаемый под названием MacSync. Также в ходе этой атаки были зафиксированы случаи использования вредоносного ПО DigitStealer.
Роль верифицированного аккаунта и доверия
Особую опасность атаке придавало то, что реклама исходила от верифицированного аккаунта с довольно большим количеством подписчиков. Имя аккаунта было решено не раскрывать, чтобы защитить его владельца, поскольку, по всей видимости, он не имел намерения распространять вредоносное ПО. Судя по всему, владелец доверился рекламе и одобрил ее размещение со своего аккаунта, ошибочно полагая, что она является законной, не подозревая о ее связи с вредоносным доменом. Верифицированный значок и знакомое имя аккаунта придали рекламе уровень доверия, который был бы невозможен для случайного аккаунта. Доверие является основой любой успешной атаки с использованием социальной инженерии.
Вопросы к модерации рекламной платформы X*
Тот факт, что владелец аккаунта был обманут, — это одно. Но то, что платформа X* одобрила эту рекламу и запустила ее как продвигаемый пост, — это совершенно другая история. Объявление прошло через рекламную систему X* со всеми ее проверками и тем не менее достигло пользователей. Имитирующий домен и единственная переадресация были почти наверняка созданы, чтобы обойти автоматизированные сканеры X*. И это сработало.
Такая ситуация вызывает ощущение дежавю. В последние годы неоднократно отмечалось, что Google Ads* одобряла чрезмерное количество вредоносных доменов, которые продвигались в верхней части поисковой выдачи Google. Один из таких случаев в прошлом году касался продвижения поддельных объявлений Homebrew (популярного менеджера пакетов для macOS) в результатах поиска, которые распространяли вредоносное ПО среди пользователей Mac.
Издание 9to5Mac обратилось в X* за комментариями, но не получило оперативного ответа.
Реакция разработчика DynamicLake
Хотя это первый зафиксированный случай распространения вредоносного ПО через рекламу на платформе X*, разработчик настоящего DynamicLake уже давно борется с вредоносными клонами. Подделки стали настолько распространены, что разработчик напрямую обратился в 9to5Mac с просьбой поделиться своим заявлением:
«Я искренне сожалею всем, кто хотел установить DynamicLake, но в итоге загрузил это вредоносное ПО. DynamicLake — это просто приложение, которое добавляет «Динамический остров» для Mac, и я никогда не представлял, что кто-то будет так злоупотреблять брендом. Я упорно работаю над борьбой с этими поддельными копиями, но, к сожалению, новые появляются каждые несколько месяцев. Я не сдамся в защите проекта и сообщества. Если вам нужна помощь или вы не уверены, загрузили ли вы легитимное приложение, пожалуйста, свяжитесь со мной. Убедитесь, что вы загружаете DynamicLake только с DynamicLake.com, где покупки безопасно обрабатываются через платформу Gumroad».
Лаборатория Jamf Threat Labs сообщила об этой рекламе на платформе X*, и она была удалена довольно быстро. Однако возникает вопрос, достаточно ли делает X*, чтобы предотвращать появление вредоносной рекламы на платформе, или это битва, которую невозможно выиграть.
* — деятельность компании запрещена на территории РФ








Комментарии закрыты