該公司的研究部門 Jamf Threat Labs 最近分享了它在社交媒體網站 X 上發現的 ClickFix 式攻擊的詳細信息,該攻擊是一個贊助廣告。該廣告來自知名帳戶,以流行的 Mac 應用程式為幌子宣傳惡意網域。
該廣告是針對 DynamicLake 的,這是一款合法的 Mac 實用程序,可將 MacBook 的切口變成非官方但功能齊全的 Dynamic Island。
透過 Jamf 威脅實驗室。
但根據 Jamfa 的調查,上面顯示的原始連結重定向到 Dynamicmacisland(.)com,這是一個與實際應用程式無關的惡意相似域。
到達那裡後,訪客被指示打開終端並貼上安裝程式碼,該程式碼將在受害者的 Mac 上靜默安裝惡意軟體。這是定義 ClickFix 社會工程攻擊的經典方法。
Apple 簽署和批准的合法應用程式絕不會要求您這樣做。
Jamf 將該有效負載識別為 Atomic Stealer 的最新變體,並將其追蹤為 MacSync。這次攻擊也揭示了使用 DigitStealer 的實例。
帳戶已知
該廣告來自一個擁有大量追蹤者的經過驗證的帳戶,這使得它更加有趣和危險。我決定將帳戶名稱保持匿名,以保護所有者的身份,因為他們無意分發惡意軟體。
顯然,所有者信任該廣告並批准將其添加到他的帳戶中,認為它是合法的,但沒有意識到它會導致惡意網域。經過驗證的徽章和熟悉的名稱提供了隨機帳戶永遠無法達到的信任等級。
信任也是任何良好的社會工程攻擊的核心基礎。
更大的故事是 X 是如何允許這種情況發生的。
欺騙帳戶所有者是一回事。 X 批准廣告並將其作為推廣貼文運行是另一種選擇。
該訊息經過了 X 廣告系統、檢查等等,但仍然到達了用戶。相似的網域和單一重定向幾乎肯定是為了避免任何自動 X 掃描。它起作用了……
這應該會給你很多似曾相識的感覺。近年來,我們看到 Google Ads 批准了大量惡意域名,這些域名已提升到 Google 搜尋的頂部。去年的一個案例涉及在搜尋結果中推廣虛假的 Homebrew 列表,從而向 Mac 用戶分發惡意軟體。
朝九晚五 聯絡 X 徵求意見,但沒有立即收到回覆。
開發商回應
雖然這是我們第一次看到惡意軟體透過 X 上的廣告進行推廣,但真正的 DynamicLake 的開發者已經與惡意克隆作鬥爭有一段時間了。
假貨已經變得如此普遍,以至於人們已經接觸到它們 朝九晚五 直接要求分享這篇文章中的聲明:
我真的為那些想要安裝 DynamicLake 但下載了這個惡意軟體的人感到抱歉。 DynamicLake 只是一個代表 Mac 版 Dynamic Island 的應用程序,我從沒想過有人會以這種方式濫用這個品牌。
我盡力打擊這些假冒偽劣產品,但不幸的是每隔幾個月就會出現新的仿冒品。我不會放棄保育計畫和社區。
如果您需要協助或不確定是否下載了合法的應用程序,請與我聯絡。確保您僅從 DynamicLake.com 下載 DynamicLake,其中的購買是透過 Gumroad 安全處理的。
感謝您的支持,對於造成您的不便,再次深表歉意。
Jamf 威脅實驗室向 X 報告了該廣告,該廣告很快就被刪除了。
X 是否採取了足夠的措施來阻止惡意廣告出現在平台上,還是這場戰鬥無法獲勝?在評論中讓我知道你的想法。
在 9to5Mac 的每週 Security Bite 專欄和雙週播客中了解 Arin Vaichulis 的更多資訊。
FTC:我們使用自動會員連結來產生收入。 更多的。









