ClearFake è il nome della nuova campagna malware che si sta diffondendo negli ultimi mesi. Questa campagna si propaga attraverso l’uso di alcuni popup che invitano gli utenti ad aggiornare Google Chrome. L’obiettivo è quello di recapitare agli utenti il malware Atomic Stealer. Questo è in grado di rubare informazioni sensibili e compromettere i sistemi dei dispositivi colpiti.
ClearFake si basa su alcune tecniche di JavaScript injection e ha lo scopo di ingannare gli utenti attraverso sei popup fasulli. Questi popup invitano i malcapitati ad effettuare un aggiornamento browser. L’aggiornamento in realtà è finto e lavora per scaricare dei malware su MacOS.
Falsi aggiornamenti portano dei malware sui MacOS
I ricercatori di sicurezza di Guardio Labs hanno osservato che la campagna ClearFake si è estesa sfruttando la blockchain di Binance. Inoltre, ha occultato script maligni all’interno di Smart Contract diffondendo in questo modo infostealer tra cui Amadey, RedLine e Lumma
Fino a poche settimane fa si trattava di una campagna indirizzata verso gli utenti Windows, ma come già accennato ora si sta indirizzando anche verso gli utenti Apple. Proprio nei giorni scorsi sono state individuate alcune specifiche routine di attacco. Queste cercano di indurre gli utenti a scaricare degli aggiornamenti del browser Safari, contenuto in un file di tipo DMG. Il payload contenuto all’interno dell’archivio DMG è Atomic, ovvero un malware che è in grado di sottrarre cookie di sessione, numeri di carte di credito e credenziali salvate dai principali browser web. Tra i file che possono essere sottratti, inoltre, ci sono anche i documenti salvati in locale e i wallet di criptovalute.
Uno dei principali obiettivi di Atomic è quello di compromettere i portachiavi di MacOS che contengono tutte le informazioni crittografate inerenti a password Wi-Fi e i dati di accesso ai propri account e ai servizi web. La violazione del portachiavi di MacOS permette agli hacker di ottenere l’accesso a qualsiasi risorsa del sistema e a tutte le informazioni che riguardano la vita digitale degli utenti. Anche se Atomic è ormai noto riesce ancora ad aggirare molti antivirus attualmente presenti sul mercato grazie alle sue doti di occultamento.
Bisogna tenere presente che i browser moderni sono ormai tutti dotati di meccanismi di aggiornamento interni al browser stesso e spesso sono dotati di impostazioni automatiche. Scaricare un aggiornamento browser di questo tipo non è mai una buona idea.