‘ClearFake’ sahte tarayıcı güncelleme kampanyası, Atomic Stealer (AMOS) kötü amaçlı yazılımını içeren Apple bilgisayarlarını hedef alarak macOS’u da kapsayacak şekilde genişletildi.
ClearFake kampanyası, bu yılın temmuz ayında, ihlal edilen sitelerde JavaScript enjeksiyonları yoluyla görünen sahte Chrome güncelleme istemleriyle Windows kullanıcılarını hedeflemek için başladı.
Ekim 2023’te Guardio Labs, blockchaindeki enfeksiyon zincirini destekleyen kötü amaçlı komut dosyalarını gizlemek için Binance Akıllı Zincir sözleşmelerinden yararlanan kötü amaçlı operasyon için önemli bir gelişme keşfetti.
“EtherHiding” adı verilen bu teknik aracılığıyla operatörler, RedLine, Amadey ve Lumma gibi bilgi çalan kötü amaçlı yazılımlar da dahil olmak üzere Windows hedefleme yüklerini dağıttı.
MacOS’a genişleme
17 Kasım 2023’te tehdit analisti Ankit Anubhav, ClearFake’in güvenliği ihlal edilmiş web sitelerini ziyaret eden macOS kullanıcılarına DMG verilerini aktarmaya başladığını bildirdi.
Bu hafta başında yayınlanan bir Malwarebytes raporu, bu saldırıların standart Chrome arayüzünün yanı sıra bir Safari güncelleme tuzağı kullandığını bildirerek bu gelişmeyi doğruluyor.
Kaynak: Malwarebytes
Bu vakalarda düşen yük, Telegram kanalları aracılığıyla siber suçlulara ayda 1000 dolara satılan, bilgi hırsızlığı yapan bir kötü amaçlı yazılım olan Atomic’tir.
Kaynak: Malwarebytes
Atomic, Nisan 2023’te tarayıcılarda saklanan şifreleri, çerezleri ve kredi kartlarını, yerel dosyaları, 50’den fazla kripto para birimi uzantısından gelen verileri ve anahtarlık şifrelerini çalmaya çalıştığını bildiren Trellix ve Cyble tarafından keşfedildi.
Anahtar zinciri parolası, WiFi parolalarını, web sitesi oturum açma bilgilerini, kredi kartı verilerini ve diğer şifrelenmiş bilgileri tutan macOS’un yerleşik parola yöneticisidir; dolayısıyla bu parolanın ele geçirilmesi kurban için önemli bir ihlale neden olabilir.
Malwarebyte’ın yükün dizelerini incelemesi, şifreler gibi hassas verileri çıkarmak ve belge dosyalarını, resimleri, kripto cüzdan dosyalarını ve anahtarları hedeflemek için bir dizi komutu ortaya çıkarıyor.
Kaynak: Malwarebytes
Artık Mac’leri hedef alan ClearFake kampanyası, Apple kullanıcılarına güvenliklerini güçlendirmeleri ve indirme işlemleri sırasında dikkatli olmaları, özellikle de web sitelerini ziyaret ederken tarayıcınızı güncellemeniz gerektiğini hatırlatıyor.
Atomic’in keşfinden ve raporlanmasından birkaç ay sonra bile yük, VirusTotal’daki AV motorlarının yaklaşık %50’si tarafından tespit edilemiyor.
Ayrıca tüm Safari tarayıcı güncellemeleri, macOS’un Yazılım Güncellemesi aracılığıyla veya diğer tarayıcılar için tarayıcının kendi içinde dağıtılacaktır.
Bu nedenle, web sitelerinde tarayıcı güncellemelerini indirmeye yönelik herhangi bir istem görürseniz, bunların göz ardı edilmesi gerekir.