Вредоносное ПО распространяется через спонсируемую рекламу в X

Jamf Threat Labs, подразделение компании по исследованию безопасности, недавно поделилось подробностями атаки в стиле ClickFix, которую они обнаружили в виде спонсируемой рекламы в социальной сети X. Рекламное объявление, исходящее от известного аккаунта, продвигало вредоносный домен под видом популярного приложения для Mac.

Реклама выдавала себя за DynamicLake — легальную утилиту для Mac, которая превращает «челку» вашего MacBook в неофициальный, но полностью рабочий Dynamic Island.

Скриншот вредоносного спонсируемого твита, выдающего себя за настоящий DynamicLake.
Источник: Jamf Threat Labs.

Однако, согласно расследованию Jamf, оригинальная ссылка, указанная выше, перенаправляет пользователей на dynamicmacisland[.]com — вредоносный домен-клон, не имеющий никакого отношения к реальному приложению.

Оказавшись там, посетителям предлагалось открыть «Терминал» и вставить код установки, который незаметно устанавливал вредоносное ПО на Mac жертвы. Это классическая техника, характерная для атак с использованием социальной инженерии типа ClickFix.

Легальные приложения, подписанные и нотариально заверенные Apple, никогда не попросят вас делать ничего подобного.

Вредоносная целевая страница с атакой ClickFix. Скриншот Jamf Threat Labs.

Специалисты Jamf идентифицировали полезную нагрузку как недавний вариант Atomic Stealer, который они отслеживают под названием MacSync. Также были выявлены случаи использования DigitStealer в этой же атаке.

Аккаунт — широко известный

Реклама исходила от верифицированного аккаунта с довольно большой аудиторией, что делает этот случай еще более интересным и опасным. Я решил не называть имя владельца аккаунта, чтобы защитить его личность, так как он не собирался распространять вредоносное ПО.

Судя по всему, владелец доверился рекламе и одобрил её для своего аккаунта, полагая, что она легальна, и даже не подозревая, что она ведет на вредоносный домен. Значок верификации и знакомое имя придают уровень доверия, который недоступен случайным аккаунтам.

Доверие — это фундаментальная основа любой успешной атаки методом социальной инженерии.

Главный вопрос: как X допустила это?

То, что владелец аккаунта оказался обманут — это одно. Но то, что X одобрила рекламу и продвигала её как спонсируемый пост — совсем другое.

Это объявление прошло через систему рекламы X, проверку и всё остальное, но все равно добралось до пользователей. Домен-клон и единственное перенаправление почти наверняка были созданы для того, чтобы обойти автоматические проверки X. И это сработало…

Всё это вызывает у нас чувство дежавю. За последние годы мы видели, как Google Ads одобряла огромное количество вредоносных доменов, которые продвигались в самом верху результатов поиска Google. Один из случаев в прошлом году был связан с продвижением фейковых объявлений Homebrew в результатах поиска, которые распространяли вредоносное ПО среди пользователей Mac.

9to5Mac обратился в X за комментариями, но оперативного ответа не получил.

Ответ разработчика

Хотя это первый случай, когда мы наблюдаем распространение вредоносного ПО через рекламу в X, разработчик настоящего приложения DynamicLake уже довольно давно борется с вредоносными клонами.

Подделки стали настолько распространенными, что они обратились в 9to5Mac напрямую с просьбой опубликовать в этой статье следующее заявление:

Я искренне прошу прощения у всех, кто хотел установить DynamicLake, но в итоге скачал это вредоносное ПО. DynamicLake — это просто приложение, которое добавляет Dynamic Island на Mac, и я никогда не мог представить, что кто-то будет злоупотреблять брендом таким образом.

Я прикладываю все усилия для борьбы с этими поддельными копиями, но, к сожалению, новые появляются каждые несколько месяцев. Я не сдамся и буду продолжать защищать этот проект и наше сообщество.

Если вам нужна помощь или вы не уверены, загрузили ли вы легальное приложение, пожалуйста, свяжитесь со мной. Пожалуйста, убедитесь, что вы скачиваете DynamicLake только с сайта DynamicLake.com, где покупки безопасно обрабатываются через Gumroad.

Спасибо за вашу поддержку, и еще раз прошу прощения за доставленные неудобства.

Команда Jamf Threat Labs сообщила о рекламе в X, и её довольно быстро удалили.

Делает ли X достаточно для защиты платформы от вредоносной рекламы, или это борьба с ветряными мельницами? Поделитесь своим мнением в комментариях.


Больше материалов от Арина Вайчулиса вы найдете в еженедельной колонке 9to5Mac Security Bite и в еженедельном подкасте.