密碼管理服務業者LastPass遭冒名，駭客設置GitHub儲存庫散布竊資軟體

上週美國聯邦調查局（FBI）提出警告，近日有人偽裝他們旗下的網路犯罪投訴中心（Internet Crime Complaint Center，IC3），恐用於架設詐騙網站從事網路犯罪活動，進行網路釣魚、投資詐騙、商業郵件詐騙（BEC）等行為，現在也有資安業者遭到歹徒假冒的情況，他們公布相關手法並警告用戶提高警覺。

密碼管理解決方案業者LastPass指出，他們追蹤正在進行、影響廣泛的竊資軟體攻擊活動，駭客透過冒牌GitHub儲存庫鎖定macOS用戶而來，意圖誘騙他們下載、安裝應用程式，其中一款就是號稱提供macOS版LastPass，假若用戶照做，電腦就會被植入竊資軟體Atomic Stealer（AMOS Stealer）。

歹徒透過搜尋引擎最佳化（SEO），透過Google、Bing引誘使用者點選，然後將他們帶往冒牌的GitHub儲存庫。LastPass於9月16日看到有兩個冒牌的GitHub網頁，共通點是都包含「在MacBook安裝LastPass」的按鈕。一旦使用者點選，就會被導向下載頁面，要求使用者透過終端機命令進行後續安裝。

然而，歹徒運用了類似ClickFix的網釣手法，他們要求使用者按下複製按鈕，複製網頁上的安裝命令並貼上終端機執行，但若是照做，就會在電腦下載名為Update的有效酬載，而此酬載就是Atomic Stealer。

值得留意的是，根據LastPass列出的入侵指標（IoC），他們也看到攻擊者聲稱提供1Password、Dropbox、After Effects等其他應用程式的情況。