Karmaşık bir kötü amaçlı reklam kampanyası, macOS ekosistemindeki kötü amaçlı yazılım yaratıcıları arasındaki artan rekabeti vurgulayarak Microsoft Teams arayan Mac kullanıcılarını hedef alıyor. Poseidon (OSX.RodStealer) projesinin hemen ardından gelen Atomic Stealer kötü amaçlı yazılımını kullanan bu son saldırı, macOS’u etkileyen tehditlerde artan ilerlemeleri gösteriyor.
Aldatıcı Microsoft Teams macOS Reklam Kampanyası
Birkaç gün süren kötü amaçlı reklam kampanyası, tespit edilmekten kaçınmak için gelişmiş filtreleme teknikleri kullandı. Microsoft Teams için en iyi arama sonucu olarak görünen reklam, URL’si olarak microsoft.com’u gösterdi ancak kullanıcıları aslında bir dizi yanıltıcı bağlantı aracılığıyla yönlendirdi.
Reklamın parası muhtemelen tehlikeye atılmış bir Google reklam hesabı tarafından ödendi. Başlangıçta reklam doğrudan Microsoft’un web sitesine yönlendirildi, ancak birden fazla deneme ve ince ayardan sonra nihayet tam bir saldırı zinciri gözlemlendi.
Malwarebytes araştırmacıları, reklama tıkladıklarında kullanıcıların yalnızca gerçek kişilerin ilerlemesini sağlamak için bir profilleme sürecine tabi tutulduğunu belirtti. Bu, kötü amaçlı sitenin otomatik güvenlik araçları ve taramalarından tespit edilmesini önleyebilirdi. Daha sonra bir gizleme alanı, ilk yönlendirmeyi resmi Microsoft Teams indirme sitesinin tasarımını taklit eden kötü amaçlı açılış sayfasından ayırdı.
Reklamın kötü amaçlı olduğu, Microsoft.com’u gösteren bir görüntüleme URL’si olduğu, ancak aslında sahte bir yükleme sayfasına yönlendirdiği bulundu. Hong Kong’da bulunan reklamveren, binin üzerinde alakasız reklam yayınlıyor. Daha detaylı araştırma sonucunda, reklamın locallyhyped.com adlı bir alan adından oluşturulan her ziyaretçi için benzersiz bir yük kullandığı keşfedildi.
İndirilen dosya açıldığında, kullanıcıya parolasını girmesi ve dosya sistemine erişim izni vermesi talimatı verildi ve bu da kötü amaçlı uygulamanın anahtarlık parolalarını ve önemli dosyaları çalmasına olanak sağladı. Veri hırsızlığının ardından, veriler tek bir POST isteğiyle uzaktan saldırgan tarafından kontrol edilen bir web sunucusuna sızdırıldı.
macOS Cihazları için Azaltma Önlemleri
Bu tür saldırılara kurban gitmemek için araştırmacılar, arama motorları üzerinden uygulama indirirken dikkatli olunmasını öneriyor. Kötü amaçlı reklam ve SEO zehirleme saldırıları yıkıcı sonuçlara yol açabilir ve reklamları ve kötü amaçlı web sitelerini engelleme yeteneğine sahip tarayıcı koruma araçlarını kullanmak çok önemlidir. Ayrıca, kötü amaçlı yazılım bulaşma riskini en aza indirmek için antivirüs yazılımını düzenli olarak güncellemeniz ve saygın bir reklam engelleyici kullanmanız önerilir.
Bu kampanya, tehdit aktörlerinin işletim sisteminin ortamını tehlikeye atma konusunda gösterdiği yoğun ilgi nedeniyle macOS kötü amaçlı yazılımlarının artan karmaşıklığını vurgular. Geçtiğimiz yıl, Cyble Research and Intelligence Labs (CRIL) araştırmacıları, bu kampanyada kullanılan Atomic Stealer’ın Telegram üzerinden aylık 1000 ABD doları fiyatla sunulduğunu gözlemledi.