Atomic macOS Hırsız Kötü Amaçlı Yazılım
Siber güvenlik araştırmacıları, Apple macOS sistemlerini tehlikeye atmak için tasarlanmış bilgi çalan bir kötü amaçlı yazılım olan Atomic macOS Stealer'ı (AMOS) dağıtmak için ClickFix olarak bilinen aldatıcı sosyal mühendislik taktiğinden yararlanan yeni bir kötü amaçlı yazılım kampanyasını ortaya çıkardı.
İçindekiler
Typosquat Taktikleri: Spectrum’u taklit etme
Bu kampanyanın arkasındaki saldırganlar, ABD merkezli telekom sağlayıcısı Spectrum'u taklit eden tiposquat alan adları kullanıyor ve şüphesiz kullanıcıları cezbetmek için panel-spectrum.net ve spectrum-ticket.net gibi sahte web sitelerini kullanıyor. Bu benzer alan adları meşru görünmek için tasarlanıyor ve kullanıcı güveni ve etkileşimi olasılığını artırıyor.
Kötü Amaçlı Kabuk Komut Dosyası: Gizli Yük
Bu sahte siteleri ziyaret eden tüm macOS kullanıcılarına kötü amaçlı bir kabuk betiği sunulur. Bu betik, kurbanları sistem parolalarını girmeye yönlendirir ve kimlik bilgilerini çalmaya, macOS güvenlik kontrollerini atlatmaya ve daha fazla istismar için AMOS kötü amaçlı yazılımının bir çeşidini yüklemeye devam eder. Yerel macOS komutları, düşük bir profil korurken betiğin etkinliğini en üst düzeye çıkarmak için kullanılır.
Köken İzleri: Rusça Dil Kodu Yorumları
Kanıtlar, bu kampanyanın arkasında Rusça konuşan siber suçluların olabileceğini gösteriyor. Araştırmacılar, kötü amaçlı yazılımın kaynak koduna gömülü Rusça yorumlar buldular ve bu da tehdit aktörlerinin muhtemel coğrafi ve dilsel kökenine işaret ediyor.
Aldatıcı CAPTCHA: ClickFix Tuzağı
Saldırı, kullanıcının bağlantı güvenliğini kontrol ettiğini iddia eden sahte bir hCaptcha doğrulama mesajıyla başlar. 'Ben insanım' onay kutusunu tıkladıktan sonra, kullanıcılar sahte bir hata mesajıyla karşılaşır: 'CAPTCHA doğrulaması başarısız oldu.' Daha sonra "Alternatif Doğrulama" ile devam etmeleri istenir.
Bu eylem kötü amaçlı bir komutu panoya kopyalar ve kullanıcının işletim sistemine göre talimatlar görüntüler. macOS'ta, kurbanlar komutu Terminal uygulamasında yapıştırmaya ve çalıştırmaya yönlendirilir ve AMOS'un indirilmesi başlatılır.
Özensiz Uygulama: Koddaki İpuçları
Kampanyanın tehlikeli amacına rağmen, araştırmacılar saldırı altyapısında tutarsızlıklar olduğunu belirttiler. Teslimat sayfalarında zayıf mantık ve programlama hataları gözlemlendi, örneğin:
- Linux kullanıcıları için kopyalanan PowerShell komutları.
- Hem Windows hem de Mac kullanıcılarına gösterilen Windows'a özgü talimatlar.
- Görüntülenen işletim sistemi ile talimatlar arasında ön uç uyuşmazlıkları.
- Bu hatalar aceleyle oluşturulmuş veya kötü yönetilen bir saldırı altyapısının göstergesidir.
ClickFix’in Yükselişi: Genişleyen Bir Tehdit Vektörü
Bu gelişme, ClickFix taktiğinin son bir yılda birden fazla kötü amaçlı yazılım kampanyasında kullanımında artan bir eğilimin parçasıdır. Tehdit aktörleri, ilk erişim için tutarlı bir şekilde benzer teknikler, araçlar ve prosedürler (TTP'ler) kullanır, en yaygın olarak:
- Mızraklı kimlik avı
- Geçerken yapılan indirmeler
- GitHub gibi güvenilir platformlar aracılığıyla paylaşılan kötü amaçlı bağlantılar
Sahte Düzeltmeler, Gerçek Zarar: Sosyal Mühendislik En Kötü Haliyle
Mağdurlar, iyi huylu bir teknik sorunu çözdüklerine inandırılarak kandırılırlar. Gerçekte, kötü amaçlı yazılım yükleyen zararlı komutlar yürütürler. Bu tür sosyal mühendislik, kullanıcı farkındalığını ve standart güvenlik mekanizmalarını atlatmada oldukça etkilidir.
Artan Etki: Küresel Yayılım ve Çeşitli Yükler
ClickFix kampanyaları Amerika Birleşik Devletleri, Avrupa, Orta Doğu ve Afrika'daki (EMEA) müşteri ortamlarında tespit edildi. Bu saldırılar giderek çeşitleniyor ve yalnızca AMOS gibi hırsızları değil aynı zamanda trojanları ve fidye yazılımlarını da sunuyor. Yükler değişebilse de temel metodoloji tutarlı kalıyor: güvenliği tehlikeye atmak için kullanıcı davranışını manipüle etmek.
Sonuç: Dikkatli Olunması Gerekiyor
Bu kampanya, devam eden uyanıklığın, kullanıcı eğitiminin ve sağlam güvenlik kontrollerinin önemini vurgular. ClickFix gibi sosyal mühendislik taktikleri geliştikçe, kuruluşlar ve bireyler de bu tür aldatıcı tehditleri tanımak ve engellemek için bilgili ve hazırlıklı olmalıdır.
