אלפי ארגונים הותקפו בנוזקה גונבת מידע

נחשף מבצע של שרשרת מתקפות בסייבר, שהסתיר באופן מתוחכם גרסה של נוזקה גונבת מידע. במסגרת המבצע הותקפו אלפי ארגונים ברחבי העולם.

שרשרת המתקפות התרחשה בין יוני לאוגוסט 2025. התוקפים רכשו מודעות שהופיעו כאתרי עזרה לגיטימיים. הקורבנות הועברו לאתרי העזרה המזויפים של macOS, ואז ההאקרים עודדו אותם לבצע פקודה שגרמה לנוזקה גונבת המידע – לפעול.

הנוזקה היא Atomic macOS Stealer (AMOS). זו מיועדת לגנוב מידע רגיש ממערכות macOS. היא קוצרת נתונים כגון סיסמאות, מפתחות, מידע על המערכות, קבצים משולחן העבודה ותיקיות מסמכים. הנוזקה מכוונת גם לנתוני דפדפן, כולל קובצי Cookies ופרטי התחברות, וארנקי קריפטו כמוElectrum, Binance, Exodus, Atomic ו-Coinomi.

לפי חוקרי קראודסטרייק (CrowdStrike), המטרה הייתה שהקורבנות יידבקו בסופו של דבר בגרסת SHAMOS של נוזקת גניבת המידע AMOS. זו פותחה על ידי  קבוצת האקריםבשם עוגיית עכביש (Cookie Spider). הקבוצה מספקת נוזקות כשירות, MaaS. כ-300 מהלקוחות הארגוניים של ענקית האבטחה הותקפו, אך הקמפיין נחסם. מומחים העריכו כי בסופו של יום, אלפי ארגונים הותקפו.

"הקמפיין הזה מדגיש את הפופולריות של פקודות התקנה זדוניות, הנעשות בשורה אחת – בקרב שחקני הפשע המקוון", כתבו החוקרים בבלוג החברה.

לפי החוקרים, "טכניקה זו מאפשרת לפושעי סייבר לעקוף את בדיקות האבטחה של Gatekeeper ולהתקין את קובץ ההפעלה Mach-O (פורמט בינארי המשמש בעיקר את macOS) – ישירות על מכשירי הקורבן". הם הוסיפו, כי "מפעילי Cuckoo Stealer ו-SHAMOS מינפו בעבר שיטה זו בקמפיינים של מתקפות סייבר על  Homebrew". אלה התרחשו בין מאי 2024 לינואר 2025. הומברו הוא מנהל חבילות קוד פתוח, המאפשר למשתמשי מכשירים מבוססי לינוקס ומאק להתקין בקלות תוכנות, כלים וספריות שלא מגיעים מובנים עם מערכת ההפעלה – אלא דרך ממשק שורת הפקודה.

לפי חוקרי קראודסטרייק, אתר הפרסום הזדוני הופיע בחיפושי גוגל בארה"ב, בריטניה, יפן, סין, קולומביה, קנדה, מקסיקו, איטליה וארצות נוספות. מנגד, הניתוח של החברה העלה כי לא אותרו קורבנות ברוסיה. הם הניחו כי "סביר להניח שזה נובע מהעובדה שפורומים רוסיים של פושעי סייבר אוסרים על מפעילי נוזקות לפגוע במשתמשים שבסיסם ברוסיה".

אתרי העזרה המזויפים של macOS נתנו למשתמשים שפנו אליהם הוראות שגויות כיצד הם יכולים לתקן את הבעיות שלהם. אז, הדפים באתרי התמיכה המזויפים מורים לקורבנות להעתיק ולבצע פקודת התקנה זדונית – בשורה אחת, וכך הם מודבקים בנוזקה.

הדיווח הראשון על קמפיין מסוג זה היה ביוני השנה. חוקרי מבצעי נגד היריבים (Counter Adversary Operations) של קראודסטרייק אמרו,שהם ממשיכים לצפות בשחקני האיום "האופורטוניסטיים שממנפים מאגרי GitHub זדוניים, כדי להנחות את הקורבנות לבצע פקודות שמורידות את SHAMOS". הם הוסיפו ,כי "אנו מעריכים במידת ביטחון גבוהה, כי שחקני האיום בסייבר צפויים להמשיך ולפעול נגד עוד ארגונים, כדי להפיץ עוד גנבי מידע.

מומחים ציינו, כי "שיטת ההפצה של SHAMOS הייתה חשובה לא פחות מהנוזקה עצמה: השימוש בפרסום תמים לכאורה, אך זדוני – נתן להם זרם קבוע של קורבנות תמימים. בחלק מהמקרים נראה שהמודעות קשורות לעסקים לגיטימיים, כמו חנות אלקטרוניקה באוסטרליה, מה שמרמז על כך שהפושעים זייפו זהויות עסקיות כדי להשיג אמינות. טקטיקה זו אפשרה לדומיינים המזויפים של ה'עזרה' להיראות אמינים מספיק, כדי שמשתמשים יוכלו לעקוב אחר ההוראות שלהם".

"הקמפיין הזה חכם. שחקני איומים מכוונים למשתמשים פחות טכניים, שמחפשים עזרה בבעיות בסיסיות, וההאקרים באים ומספקים להם הדרכה, שלב אחר שלב כיצד להתקין את הנוזקה שלהם", סיכם מומחה אבטחת סייבר. "מתקפה מסוג זה יעילה נגד ארגונים ממגזר ה-SMB והמשתמשים הביתיים. הקמפיין מראה שמכשירים מבוססי macOS אינם מאובטחים מפני מתקפות נוזקה".