Amos MacOS Stealer kötü amaçlı kod dağıtmak için güvenliği ortadan kaldırır

Çok platformlu sosyal mühendislik saldırılarının gelişen karmaşıklığını sergileyen bir Atomik MacOS Stealer (AMOS) varyantını içeren yeni ortaya çıkan bir kampanya ortaya çıktı.

Rutin saldırgan altyapı analizi sırasında keşfedilen bu kampanya, kablo televizyon, internet ve yönetilen hizmetler sunan ABD tabanlı bir telekomünikasyon sağlayıcısı olan spektrumları taklit eden yazım hatalı alanlardan yararlanıyor.

ClickFix yöntemini kullanarak saldırganlar, MacOS kullanıcıları özel olarak sistem şifrelerini hasat etmek ve daha derin bir sömürü için bir Amos varyantını dağıtmak için tasarlanmış kötü niyetli bir kabuk komut dosyası tarafından hedeflenen MacOS kullanıcıları ile kurbanın işletim sistemine göre özel yükler sunar.

– Reklamcılık –

Kaynak kodundaki Rusça yorumları ile işaretlenen bu operasyon, Rusça konuşan siber suçluların muhtemel katılımına işaret ederken, zayıf uygulanan teslimat mantığı aceleyle inşa edilmiş ancak tehlikeli bir altyapı ortaya koymaktadır.

Aldatıcı teslimat

Saldırı, kurbanların panel-spektrum gibi yazımsever alanlara çekilmesiyle başlar[.]net ve spektrum bilet[.]Net, burada bir “alternatif doğrulama” seçeneğini tıklamaları istenir.

Bu eylem, genellikle MacOS kullanıcılarına Windows’a özgü rehberlik görüntüleme gibi tutarsızlıklar içeren platforma özgü talimatlar eşlik ederek panoya kötü amaçlı bir komuta kopyalar.

MACOS olmayan kullanıcı aracıları için, bir PowerShell komutu CF-Terifi.Pages gibi bir komut ve kontrol (C2) sunucusundan bir komut dosyasını indirir ve yürütür[.]Dev.

Ancak, macOS kullanıcıları AppleMacios’tan bir komut dosyasını alan bir Bash komutu alır[.]com/getrur/install.sh Sessiz ve yönlendiren bayraklarla kıvrılma kullanarak.

CloudSek raporuna göre, bu komut dosyası yıkıcı bir saldırı zinciri yürütmek için yerel macOS yardımcı programları kullanır: kurbanın şifresini kalıcı bir “sistem şifresi” istemi ile hasat eder, DSCL kullanarak doğrular. -Authonly ve /tmp/.pass içinde saklar.

Komut dosyası daha sonra AppleMacios’tan “güncelleme” olarak adlandırılan (MD5 Hash EEEDEE8FC9FE336BCDE021BF243E332A) adlı kötü niyetli bir ikili olarak indirir.[.]com/getrur/update, karantina özelliklerini kaldırmak için çalınan parolayı sudo -s xattr -c ile kullanarak macOS güvenliğini atlar ve CHMOD +X ile yürütülebilir hale getirdikten sonra AMOS varyantını yürütür.

Sudo ve Xattr gibi meşru araçlardan yararlanan bu yaklaşım, geleneksel uç nokta güvenlik çözümleri tarafından algılanmayı önemli ölçüde azaltır, saldırganların kimlik bilgilerini çalmasına, kalıcı erişim kazanmasına ve fidye yazılımı veya veri açığa çıkması gibi daha fazla müdahaleler için kurumsal ortamlarda yanal hareketi mümkün kılar.

Savunma stratejileri

Bu AMOS kampanyasının sonuçları, özellikle çalınan kimlik bilgileri VPN’lere, dahili sistemlere ve hassas kaynaklara erişim sağlayabilecek kurumsal kullanıcılar için ciddidir.

Güvenlik mekanizmalarını atlamak için yerel macOS komutlarının kullanılması, geleneksel antivirüs veya EDR araçlarıyla bu tür tehditleri tespit etme zorluğunun altını çizmektedir.

Riskleri azaltmak için kuruluşlar, aldatıcı şifre istemlerini ve sistem doğrulama taktiklerini tanımak için kullanıcı farkındalık eğitimine öncelik vermelidir.

MacOS uç noktalarının sistem bütünlüğü korumalarını uygulayarak ve bekçi ve MDM politikaları aracılığıyla imzasız komut dosyası yürütmesini kısıtlayarak sertleştirme kritiktir.

Buna ek olarak, alışılmadık sudo faaliyetleri, şifre istemi kötüye kullanımı ve bilinen AMOS göstergeleri için tehdit avı, uzlaşmayı erken tanımlamaya yardımcı olabilir.

Bu kampanya, hem tüketici hem de kurumsal savunucuları sosyal olarak tasarlanmış tehditlere karşı uyanık kalmaya çağıran platformlar arası saldırıların artan eğilimini vurgulamaktadır.

Uzlaşma Göstergeleri (IOCS)

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!