В нашем цифровом мире безопасность становится всё более актуальной темой, особенно когда речь заходит о вредоносных программах, распространяемых через социальные сети. В этой статье мы подробно разберём случай, когда реклама на платформе X привела пользователей к установке вредоносного ПО, замаскированного под популярное приложение для Mac. Если вы хотите узнать, как избежать подобных ловушек и защитить своё устройство, читайте дальше!
Что произошло?
Недавно исследовательская команда Jamf Threat Labs обнаружила атаку в стиле ClickFix, которая распространялась через спонсируемую рекламу на социальной платформе X. Реклама исходила от проверенного аккаунта и рекламировала вредоносный домен под видом популярного приложения для Mac.
Мошенническое приложение
В данном случае реклама выдавалась за приложение DynamicLake - легитимный инструмент, который превращает вырез в MacBook в функциональную версию Dynamic Island. Однако, как показало расследование Jamf, оригинальная ссылка в рекламе перенаправляла пользователей на домен dynamicmacisland[.]com, который не имел никакого отношения к настоящему приложению.
Как работает атака?
Посетив этот домен, пользователям предлагали открыть терминал и вставить код установки, который тайно устанавливал вредоносное ПО на их Mac. Это классическая техника, характерная для атак социальной инженерии ClickFix. Легитимные приложения, подписанные и проверенные Apple, никогда не просят пользователей выполнять такие действия.
Вредоносный код

Jamf идентифицировал вредоносный код как недавний вариант Atomic Stealer, который они отслеживают под именем MacSync. В ходе атаки также были выявлены случаи использования DigitStealer.
Опасность проверенных аккаунтов
Реклама исходила от проверенного аккаунта с довольно большой аудиторией, что делает ситуацию ещё более интересной и опасной. Я решил оставить имя аккаунта анонимным, чтобы защитить личность его владельца, так как он не намеревался распространять вредоносное ПО.
Судя по всему, владелец аккаунта доверял рекламе и одобрил её, полагая, что она легитимна, не подозревая, что она ведёт на вредоносный домен. Проверенный значок и известное имя создают уровень доверия, который случайный аккаунт никогда не сможет обеспечить. Доверие - это основа любой успешной атаки социальной инженерии.
Как это стало возможным?
Обмануть владельца аккаунта - это одно. Но то, что X одобрил рекламу и выпустил её в качестве спонсируемого поста, - это совершенно другое. Эта реклама прошла через рекламную систему X, включая все проверки, и всё равно достигла пользователей. Похожий домен и единственное перенаправление, вероятно, были созданы для того, чтобы обойти автоматические сканирования X. И это сработало.
Это может напомнить вам о множестве случаев, когда Google Ads одобряли огромное количество вредоносных доменов, которые продвигались на верхних позициях в поисковой выдаче. Один из таких случаев в прошлом году касался продвижения поддельных списков Homebrew, которые распространяли вредоносное ПО среди пользователей Mac.
Реакция разработчика

Хотя это первый случай, когда вредоносное ПО продвигалось через рекламу на X, разработчик настоящего DynamicLake уже давно борется с мошенническими клонами. Подделки стали настолько распространёнными, что он обратился к 9to5Mac с просьбой опубликовать своё заявление:
«Мне искренне жаль тех, кто хотел установить DynamicLake, но вместо этого скачал это вредоносное ПО. DynamicLake - это просто приложение, которое приносит Dynamic Island на Mac, и я никогда не думал, что кто-то сможет так злоупотребить брендом. Я усердно работаю над борьбой с этими поддельными копиями, но, к сожалению, новые появляются каждые несколько месяцев. Я не сдамся в защите проекта и сообщества. Если вам нужна помощь или вы не уверены, скачали ли вы легитимное приложение, не стесняйтесь обращаться ко мне. Пожалуйста, убедитесь, что вы скачиваете DynamicLake только с сайта DynamicLake.com, где покупки безопасно обрабатываются через Gumroad. Спасибо за вашу поддержку, и ещё раз извините за неудобства.»
Заключение
Jamf Threat Labs сообщила о рекламе в X, и она была быстро удалена. Но стоит ли X делать больше для предотвращения появления вредоносных объявлений на платформе, или это невозможно? Поделитесь своим мнением в комментариях.








