Atomic Stealer kötü amaçlı yazılımı, sahte tarayıcı güncellemeleri yoluyla macOS’a saldırıyor


fırtınada macOS

‘ClearFake’ sahte tarayıcı güncelleme kampanyası, Atomic Stealer (AMOS) kötü amaçlı yazılımını içeren Apple bilgisayarlarını hedef alarak macOS’u da kapsayacak şekilde genişletildi.

ClearFake kampanyası, bu yılın temmuz ayında, ihlal edilen sitelerde JavaScript enjeksiyonları yoluyla görünen sahte Chrome güncelleme istemleriyle Windows kullanıcılarını hedeflemek için başladı.

Ekim 2023’te Guardio Labs, blockchaindeki enfeksiyon zincirini destekleyen kötü amaçlı komut dosyalarını gizlemek için Binance Akıllı Zincir sözleşmelerinden yararlanan kötü amaçlı operasyon için önemli bir gelişme keşfetti.

“EtherHiding” adı verilen bu teknik aracılığıyla operatörler, RedLine, Amadey ve Lumma gibi bilgi çalan kötü amaçlı yazılımlar da dahil olmak üzere Windows hedefleme yüklerini dağıttı.

MacOS’a genişleme

17 Kasım 2023’te tehdit analisti Ankit Anubhav, ClearFake’in güvenliği ihlal edilmiş web sitelerini ziyaret eden macOS kullanıcılarına DMG verilerini aktarmaya başladığını bildirdi.

Bu hafta başında yayınlanan bir Malwarebytes raporu, bu saldırıların standart Chrome arayüzünün yanı sıra bir Safari güncelleme tuzağı kullandığını bildirerek bu gelişmeyi doğruluyor.

MacOS kullanıcılarını hedef alan sahte güncelleme katmanı
MacOS kullanıcılarını hedef alan sahte güncelleme katmanı
Kaynak: Malwarebytes

Bu vakalarda düşen yük, Telegram kanalları aracılığıyla siber suçlulara ayda 1000 dolara satılan, bilgi hırsızlığı yapan bir kötü amaçlı yazılım olan Atomic’tir.

Safari güncellemesi olarak gizlenen atom hırsızı
Safari güncellemesi olarak gizlenen atom hırsızı
Kaynak: Malwarebytes

Atomic, Nisan 2023’te tarayıcılarda saklanan şifreleri, çerezleri ve kredi kartlarını, yerel dosyaları, 50’den fazla kripto para birimi uzantısından gelen verileri ve anahtarlık şifrelerini çalmaya çalıştığını bildiren Trellix ve Cyble tarafından keşfedildi.

Anahtar zinciri parolası, WiFi parolalarını, web sitesi oturum açma bilgilerini, kredi kartı verilerini ve diğer şifrelenmiş bilgileri tutan macOS’un yerleşik parola yöneticisidir; dolayısıyla bu parolanın ele geçirilmesi kurban için önemli bir ihlale neden olabilir.

Malwarebyte’ın yükün dizelerini incelemesi, şifreler gibi hassas verileri çıkarmak ve belge dosyalarını, resimleri, kripto cüzdan dosyalarını ve anahtarları hedeflemek için bir dizi komutu ortaya çıkarıyor.

Atomic'in kodundaki komut dizisi
Atomic’in kodundaki komut dizisi
Kaynak: Malwarebytes

Artık Mac’leri hedef alan ClearFake kampanyası, Apple kullanıcılarına güvenliklerini güçlendirmeleri ve indirme işlemleri sırasında dikkatli olmaları, özellikle de web sitelerini ziyaret ederken tarayıcınızı güncellemeniz gerektiğini hatırlatıyor.

Atomic’in keşfinden ve raporlanmasından birkaç ay sonra bile yük, VirusTotal’daki AV motorlarının yaklaşık %50’si tarafından tespit edilemiyor.

Ayrıca tüm Safari tarayıcı güncellemeleri, macOS’un Yazılım Güncellemesi aracılığıyla veya diğer tarayıcılar için tarayıcının kendi içinde dağıtılacaktır.

Bu nedenle, web sitelerinde tarayıcı güncellemelerini indirmeye yönelik herhangi bir istem görürseniz, bunların göz ardı edilmesi gerekir.



Source link