Mac-gebruikers doelwit van aanval met zogenaamde Cloudflare-captcha
Gebruikers van macOS zijn het doelwit van een aanval met een zogenaamde Cloudflare-captcha. In werkelijkheid worden slachtoffers verleid tot het uitvoeren van AppleScript dat cryptowallets, cookies en gevoelige bestanden naar de aanvallers stuurt, zo meldt securitybedrijf Hunt.io. Soortgelijke aanvallen, die ClickFix worden genoemd, zijn eerder ook tegen Linux- en Windowsgebruikers waargenomen.
Bij de aanval maken de aanvallers gebruik van malafide websites die in naam lijken op legitieme sites. Zodra de websites worden bezocht krijgen gebruikers een melding te zien dat ze een Cloudflare-captcha moeten oplossen. In het geval van de Mac-variant krijgen gebruikers daarbij instructies om de Terminal te openen, een commando te kopiëren en dat in de Terminal uit te voeren. Daarbij lijkt het voor de gebruiker alsof hij een "Cloudflare verification ID" kopieert.
In werkelijkheid wordt hierbij een AppleScript uitgevoerd dat allerlei informatie van het systeem verzamelt en terugstuurt naar de aanvaller. Het gaat dan om browserdata zoals cookies, opgeslagen inloggegevens, autofill data en encryptiesleutels, alsmede cryptowallets en persoonlijke bestanden op het systeem, waaronder .txt, .pdf, .docx, .key, Apple Notes databases en Keychain-bestanden, aldus de onderzoekers.
Verzamelde informatie en bestanden worden eerst gecomprimeerd en daarna als zip-bestand naar de aanvaller gestuurd. Zowel de gebruikte tijdelijke directory hiervoor en het zip-bestand worden daarna verwijderd om geen sporen achter te laten, zo stellen de onderzoekers. In mei waarschuwde Google nog voor aanvallen met zogenaamde Cloudflare-captcha's. Bij de Windows-variant van ClickFix worden gebruikers misleid om een PowerShell-commando uit te voeren. In mei meldde Hunt.io het bestaan van een Linux-variant van ClickFix, waarbij een shell-commando wordt gebruikt.
En die aanval heet ClickFix? Mooie naam, want het “fixt” inderdaad al je problemen… door ze rechtstreeks naar de aanvaller te sturen. Wallets, cookies, Keychain, Notes, zelfs je pdf’jes – alles in één handige zip. Het enige dat ontbreekt is een bedankmailtje: “Uw gegevens zijn succesvol geverifieerd!”
Het leukste is dat deze methode al bekend was voor Windows en Linux. Dus wie dacht: “Ik zit op een Mac, ik ben veilig”, mag dat mantra nu even herschrijven naar: “Ik zit op een Mac, ik ben een luxedoelwit.”
Moraal van het verhaal: captchas vragen nooit om Terminal-commando’s. Als dat gebeurt, heb je niet te maken met Cloudflare, maar met CloudFraud.
En die aanval heet ClickFix? Mooie naam, want het “fixt” inderdaad al je problemen… door ze rechtstreeks naar de aanvaller te sturen. Wallets, cookies, Keychain, Notes, zelfs je pdf’jes – alles in één handige zip. Het enige dat ontbreekt is een bedankmailtje: “Uw gegevens zijn succesvol geverifieerd!”
Het leukste is dat deze methode al bekend was voor Windows en Linux. Dus wie dacht: “Ik zit op een Mac, ik ben veilig”, mag dat mantra nu even herschrijven naar: “Ik zit op een Mac, ik ben een luxedoelwit.”
Moraal van het verhaal: captchas vragen nooit om Terminal-commando’s. Als dat gebeurt, heb je niet te maken met Cloudflare, maar met CloudFraud.
Die captcha vragen worden ook steeds debieler, natuurlijk zijn er mensen die erin trappen.
Christus op een bromfiets! Met wat voor social engineering krijg je zoiets toch voor elkaar om geloofwaardig te zijn??
Ik maakte een keer mee hoe ver dat ging toen een kennis me had gevraagd om even te helpen bij iets op zijn computer. Ik keek mee terwijl hij bezig was. Er verscheen een popup waarin Windows toestemming vroeg om iets gevaarlijks te doen, en hij gaf direct toestemming, voor ik "stop" had kunnen zeggen, en de pc was besmet met een of andere malware. "Waarom deed je dat nou?" vroeg ik verbluft. Het kwam erop neer dat hij toch niets snapte van wat er allemaal gebeurde en ervan uitging dat de computer zelf het beter wist, als hij maar deed wat de computer aangaf leek het voor hem steeds goed te gaan, dus zo ging hij met die computer om.
Ik denk dat dat heel aardig illustreert waarom een flinke groep mensen die instructies gewoon opvolgt.
De gebruiker die het niet gebruikt snapt dus ook niet wat hier gebeurd. Perfect voor diegene die kwaad wil.
Bij eerste opstart zou Apple best een dikke prompt kunnen geven dat gebruikers waarschuwt wat de tool doet, maar een oplettende gebruiker werkt beter.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?