Malware verspreid via gesponsorde advertentie op X, afkomstig van geverifieerd account

Volgens Jamf Threat Labs deed de advertentie zich voor als DynamicLake, een bestaande Mac-app die de inkeping bovenaan het scherm van een MacBook omvormt tot een soort Dynamic Island. Wie op de advertentie klikte, werd echter doorgestuurd naar een nepwebsite die niets met de echte ontwikkelaar te maken had.
Terminal-opdracht installeerde malware
Op de valse downloadpagina kregen bezoekers de instructie om Terminal te openen en een commando te plakken. Dat script installeerde vervolgens ongemerkt malware op de Mac van het slachtoffer. Jamf identificeerde de schadelijke software als een recente variant van Atomic Stealer, een bekende infostealer die onder meer wachtwoorden, browsergegevens en andere persoonlijke informatie probeert te ontfutselen. De aanval maakt gebruik van een techniek die beveiligingsonderzoekers kennen als ClickFix, waarbij gebruikers zelf worden overtuigd om een opdracht uit te voeren.
Belangrijk om te weten is dat een legitieme Mac-app je normaal gezien nooit zal vragen om een willekeurige Terminal-opdracht van een website te kopiëren en uit te voeren om de software te installeren.
Account met verified-badge en veel volgers
De advertentie werd verspreid via een account met een verificatiebadge en een groot aantal volgers. Daardoor leek het voor veel gebruikers alsof het om een betrouwbare promotie ging. Volgens de onderzoekers was de eigenaar van het account zich waarschijnlijk niet bewust van de kwaadaardige doorverwijzing. Ook het feit dat de advertentie door het controlesysteem van X werd goedgekeurd, roept vragen op. De aanvallers gebruikten vermoedelijk een tussenliggende doorverwijzing naar een lookalike-domein om automatische veiligheidscontroles te omzeilen. Gelijkaardige praktijken zijn de voorbije jaren ook al opgedoken bij advertenties op andere grote platformen.
Als gebruiker kan je je daar vooral tegen wapenen met gezond verstand. Download apps uitsluitend via de officiële website van de ontwikkelaar of via de Mac App Store, als dat kan. Voer ook nooit Terminal-commando’s uit die je van een advertentie of onbekende website krijgt en controleer bij twijfel het webadres zorgvuldig. Nepdomeinen lijken vaak sterk op de echte site. Heb je het commando al uitgevoerd? Verbreek dan de internetverbinding, laat je Mac scannen met betrouwbare beveiligingssoftware en wijzig belangrijke wachtwoorden, te beginnen met je Apple-account en e-mailaccount.
Jamf meldde de advertentie aan X, waarna ze volgens het bedrijf snel werd verwijderd. De ontwikkelaar van DynamicLake benadrukt intussen dat gebruikers de app alleen via de officiële website moeten downloaden en bij twijfel rechtstreeks contact kunnen opnemen.











