ينتشر برنامج Atomic Stealer الخبيث عبر صفحات برامج MacOS المزيفة

يستهدف هجوم إلكتروني جديد واسع النطاق مستخدمي ماك من خلال صفحات GitHub الزائفة التي تحاكي شركات معروفة.

يقوم المهاجمون بإنشاء مستودعات غير صحيحة على GitHub تبدو وكأنها تقدم برامج شرعية لنظام macOS، حسبما ذكرت LastPass. في الواقع، توجه التنزيلات الضحايا إلى موقع يقوم بتثبيت Atomic Stealer، المعروف أيضًا بالبرمجية الخبيثة AMOS.

أشار الباحثون إلى أن البرمجيات الخبيثة كانت نشطة منذ أبريل 2023، حيث كانت تسرق كلمات المرور والمعلومات المالية للمستخدمين.

“الجهات الفاعلة المهددة تستخدم تحسين محركات البحث (SEO) لتقديم روابط إلى مواقعهم الخبيثة في أعلى صفحات البحث، بما في ذلك Bing وGoogle،” كما أوضحت LastPass.

أكدت LastPass أن علامتها التجارية الخاصة استُخدمت في الاحتيال. تم إعداد صفحتين على GitHub في السادس عشر من سبتمبر، حيث قامتا بانتحال شخصية LastPass وتضمين روابط تدعي “تثبيت LastPass على MacBook”.

قامت هذه الروابط بتوجيه المستخدمين إلى صفحة أخرى ضارة، التي بدورها أعطتهم تعليمات لتشغيل أمر في الطرفية (terminal) الخاصة بجهاز Mac الخاص بهم. أطلق الأمر تحميلًا أدى بشكل سري إلى تثبيت برنامج الفدية الخبيث Atomic Stealer.

لقد تم إزالة كلا الصفحتين المزيفتين لـ LastPass منذ ذلك الحين، ولكن يبدو أن المهاجمين يستخدمون عدة حسابات على GitHub لتجاوز الإزالات.

“نحن نكتب هذا المنشور على المدونة لزيادة الوعي حول الحملة وحماية عملائنا بينما نواصل السعي بنشاط للقضاء على الجهود وإحباطها”، قالت LastPass.

الحملة ليست محصورة في LastPass. تقارير الشركة تشير إلى أن القراصنة يهاجمون قطاعات الأعمال المتعددة التي تشمل الشركات التكنولوجية والمنظمات المالية وخدمات حماية كلمة المرور.

يقوم فريق الأمان في LastPass بتوزيع مؤشرات الاختراق (IoCs) على المنظمات للكشف عن التهديدات بينما تتعقب الشركة الوضع وتقدم معلومات إضافية.