SKADEVARE

Denne Mac-skadevaren kan stjele «alt» fra maskinen din – sprer seg gjennom falske nettleser-oppdateringer

Amos på ferde igjen, sier sikkerhetsselskap.

En farlig Mac-skadevare døpt AMOS har funnet atter nye spredningsmetoder, sier Malwarebytes.
En farlig Mac-skadevare døpt AMOS har funnet atter nye spredningsmetoder, sier Malwarebytes. Foto: Colourbox/27131526
28. nov. 2023 - 14:07

Av alle plattformer er MacOS ennå den tryggeste når det gjelder forekomsten av skadevare, men bildet er i rask endring. For en stund siden dukket det opp en farlig Mac-skadevare døpt Amos, og nå rapporteres det at denne er på ferde igjen med nye spredningsmetoder. 

Sikkerhetsselskapet Malwarebytes rapporterer at Amos (Atomic macOS Stealer), som er en såkalt «stealer»-programvare, nå er i ferd med å spre seg til Mac-brukere gjennom falske nettleseroppdateringer. Blant andre nettstedet Techradar skrev om saken.

Sjeldent på Mac

Falske nettleseroppdateringer er en relativt utbredt måte for spredning av skadevare på Windows-plattformen, men som Malwarebytes peker på er metoden hittil ikke spesielt vanlig på Mac-plattformen.

Mac-plattformen blir stadig mer populær blant trusselaktørene, og nå har enda en fare meldt sin ankomst på plattformen.
Les også

Enda mer Mac-skadevare oppdaget på nettet: Retter seg mot én bestemt type brukere

De falske oppdateringene som denne seneste kampanjen benytter seg av, omfatter både Apples egen Safari-nettleser og Chrome. De sprer seg via nettsider som kontrolleres av bakmennene, og som etterligner de respektive selskapenes egne nettsider med høy grad av troverdighet.

De kompromitterte nettsidene som brukes til spredningen er i ferd med å bli tallrike, noe som bidrar til å heve trusselnivået, ifølge forskerne.

– Med en voksende liste av kompromitterte nettsider til disposisjon, er trusselaktørene i stand til å nå et brede publikum, og stjele legitimasjonsdata og filer som er av interesse som det kan tjenes penger på umiddelbart, eller som kan utnyttes til andre angrep, skriver Malwarebytes.

Kan stjele «alt»

Amos er en allsidig skadevare som er designet for stjele mange ulike typer data fra offerets maskin. I mai i år ble det rapportert at programvaren ble solgt på nettet som en abonnementstjeneste og markedsført blant annet på den anonyme meldingstjenesten Telegram.

Mac er nok en gang blitt offer for skadevare, denne gangen gjennom ondsinnet annonsering.
Les også

Sikkerhetsforskere advarer: Mac-skadevare sprer seg gjennom Google-annonser

– Atomic macOS Stealer kan stjele ulike typer informasjon fra offerets maskin, inkludert Keychain-passord (Apples passordhåndteringstjeneste, journ.anm.), komplett systeminformasjon, filer fra desktop- og dokumentmappen, og til og med macOS-passordet, skrev sikkerhetsselskapet Cyble om programvaren den gang.

Skadevaren er også designet for å hente ut data fra en rekke ulike nettlesere, slik som autofill-data, passord, informasjonskapsler (cookies) og    kredittkortinformasjon. Blant nettleserne som er rammet finner vi Chrome, Edge, Firefox, Opera, Vivaldi og Brave.

Spres også gjennom annonser

Digi.no omtalte Amos-skadevaren også i september i år, da det kom frem at bakmennene hadde begynt å bruke Google-annonser til å spre programvaren (krever abonnement).

Måten denne spredningsmetoden foregår på er at trusselaktørene bak skadevaren kjøper annonser som etterligner kjente navn og merkevarer som brukere leter etter gjennom Google-søk, gjerne nyttige programmer og apper.

Ved å klikke på disse annonsene tas offeret til en phishing-nettside hvor ved kommende villedes til å laste ned det ondsinnede programmet. Disse phishing-sidene har et autentisk utseende som gjør at det er lett for intetanende brukere å la seg lure.

Flere opplysninger om de seneste funnene finner man i Malwarebytes gjennomgang.

Det destruktive Qakbot-botnettet skal nå ha blitt tatt ned, takket være en massiv, USA-ledet aksjon.
Les også

Utførte en av de største politiaksjonene mot skadevare noensinne: Nå er internett blitt litt tryggere

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.