
Jamf Threat Labs, подразделение компании по исследованию безопасности, недавно поделилось подробностями атаки в стиле ClickFix, которую они обнаружили в виде спонсируемой рекламы в социальной сети X. Рекламное объявление, исходящее от известного аккаунта, продвигало вредоносный домен под видом популярного приложения для Mac.
Реклама выдавала себя за DynamicLake — легальную утилиту для Mac, которая превращает «челку» вашего MacBook в неофициальный, но полностью рабочий Dynamic Island.

Источник: Jamf Threat Labs.
Однако, согласно расследованию Jamf, оригинальная ссылка, указанная выше, перенаправляет пользователей на dynamicmacisland[.]com — вредоносный домен-клон, не имеющий никакого отношения к реальному приложению.
Оказавшись там, посетителям предлагалось открыть «Терминал» и вставить код установки, который незаметно устанавливал вредоносное ПО на Mac жертвы. Это классическая техника, характерная для атак с использованием социальной инженерии типа ClickFix.
Легальные приложения, подписанные и нотариально заверенные Apple, никогда не попросят вас делать ничего подобного.

Специалисты Jamf идентифицировали полезную нагрузку как недавний вариант Atomic Stealer, который они отслеживают под названием MacSync. Также были выявлены случаи использования DigitStealer в этой же атаке.
Аккаунт — широко известный
Реклама исходила от верифицированного аккаунта с довольно большой аудиторией, что делает этот случай еще более интересным и опасным. Я решил не называть имя владельца аккаунта, чтобы защитить его личность, так как он не собирался распространять вредоносное ПО.
Судя по всему, владелец доверился рекламе и одобрил её для своего аккаунта, полагая, что она легальна, и даже не подозревая, что она ведет на вредоносный домен. Значок верификации и знакомое имя придают уровень доверия, который недоступен случайным аккаунтам.
Доверие — это фундаментальная основа любой успешной атаки методом социальной инженерии.
Главный вопрос: как X допустила это?
То, что владелец аккаунта оказался обманут — это одно. Но то, что X одобрила рекламу и продвигала её как спонсируемый пост — совсем другое.
Это объявление прошло через систему рекламы X, проверку и всё остальное, но все равно добралось до пользователей. Домен-клон и единственное перенаправление почти наверняка были созданы для того, чтобы обойти автоматические проверки X. И это сработало…
Всё это вызывает у нас чувство дежавю. За последние годы мы видели, как Google Ads одобряла огромное количество вредоносных доменов, которые продвигались в самом верху результатов поиска Google. Один из случаев в прошлом году был связан с продвижением фейковых объявлений Homebrew в результатах поиска, которые распространяли вредоносное ПО среди пользователей Mac.
9to5Mac обратился в X за комментариями, но оперативного ответа не получил.
Ответ разработчика
Хотя это первый случай, когда мы наблюдаем распространение вредоносного ПО через рекламу в X, разработчик настоящего приложения DynamicLake уже довольно давно борется с вредоносными клонами.
Подделки стали настолько распространенными, что они обратились в 9to5Mac напрямую с просьбой опубликовать в этой статье следующее заявление:
Я искренне прошу прощения у всех, кто хотел установить DynamicLake, но в итоге скачал это вредоносное ПО. DynamicLake — это просто приложение, которое добавляет Dynamic Island на Mac, и я никогда не мог представить, что кто-то будет злоупотреблять брендом таким образом.
Я прикладываю все усилия для борьбы с этими поддельными копиями, но, к сожалению, новые появляются каждые несколько месяцев. Я не сдамся и буду продолжать защищать этот проект и наше сообщество.
Если вам нужна помощь или вы не уверены, загрузили ли вы легальное приложение, пожалуйста, свяжитесь со мной. Пожалуйста, убедитесь, что вы скачиваете DynamicLake только с сайта DynamicLake.com, где покупки безопасно обрабатываются через Gumroad.
Спасибо за вашу поддержку, и еще раз прошу прощения за доставленные неудобства.
Команда Jamf Threat Labs сообщила о рекламе в X, и её довольно быстро удалили.
Делает ли X достаточно для защиты платформы от вредоносной рекламы, или это борьба с ветряными мельницами? Поделитесь своим мнением в комментариях.
Больше материалов от Арина Вайчулиса вы найдете в еженедельной колонке 9to5Mac Security Bite и в еженедельном подкасте.