2 augustus 2024 15:18

Geavanceerde malware-aanval treft Mac-gebruikers

Cybercriminelen maken gebruik van bekende namen zoals Loom, LedgerLive en Black Desert Online om malware te verspreiden op Macs.

Cybercriminelen proberen op allerlei manieren malware te verspreiden. Meestal gebeurt dat via valse advertenties op sociale media of phishingmails. Bij de aanval die de onderzoekers van Moonlock Lab op het spoor zijn gekomen, wordt gebruikgemaakt van een combinatie van valse Google-advertenties en phishingmails. Vooral dat eerste is opmerkelijk: je verwacht immers dat advertenties op Google legitiem zijn, zeker als de zoekmachine een legitieme URL toont.

Aan de URLs die je bij ‘Sponsored’-zoekresultaten te zien krijgt, lijkt je echter niet al te veel waarde te moeten hechten. Nietsvermoedend werden de onderzoekers van Moonlock Lab via de advertentie naar een malwaresite doorgestuurd. Om slachtoffers te trekken, maken hackers misbruik van bekende merknamen als Loom, LedgerLive en zelfs Zoom.

Wie op de malwaresites terechtkomt, zal dat in eerste instantie niet eens opmerken. Behalve de URLs zijn de websites namelijk exacte kopieën van de officiële websites. Via de websites kun je ook zogenaamd de software downloaden waar je naar op zoek was. Hoewel er iets wordt gedownload, gaat het niet om het installatiebestand dat je zocht: het bestand dat je downloadt is erop gericht om je pc met malware te infecteren en gegevens te stelen.

Aanval op cryptowallets

Opmerkelijk is dat de kwaadaardige LedgerLive-app zelfs de legitieme LedgerLive-app op Macs kan vervangen. De interface van de app is bovendien identiek aan de legitieme versie, waardoor slachtoffers geneigd zullen zijn hun inloggegevens in te vullen. Zodoende krijgen de aanvallers toegang tot de cryptowallets. Daarnaast kan de kwaadaardige app onder meer bestanden van de pc, wachtwoorden, browserdata en KeyChain-gegevens stelen.

1/4: We've uncovered a malicious version of #LedgerLive circulating in the wild. The threat actors behind the #AMOS #stealer are advertising a fake #Ledger app that replaces the original upon execution, remaining permanently within the system and stealing users' seed phrases. pic.twitter.com/EFXWdP8iFo
— Moonlock Lab (@moonlock_lab) April 29, 2024

Naast de aanval via Google-advertenties, proberen cybercriminelen ook YouTube-creators te misleiden. Zij krijgen via e-mail de vraag of ze Black Desert Online willen promoten, in ruil voor een gratis exemplaar van de game. Als ze akkoord gaan, krijgen ze een malwarevariant van de game opgestuurd.

Zeer waarschijnlijk is de aanval het werk van de Crazy Evil-hackersgroepering. Die groepering plaatste eerder een vacature voor het ontwikkelen van een macOS-stealer voor LedgerLive.

Geverifieerde bronnen

Zulke aanvallen benadrukken de noodzaak van waakzaamheid bij het installeren van apps op macOS. Het is aangeraden om enkel apps te downloaden vanaf de App Store en geverifieerde websites. Houd hiervoor altijd de URL van de website in de gaten. Lijkt die niet te kloppen of is het niet duidelijk of je op de officiële website bent, sluit de site dan meteen af.