Bilgi hırsızlığı yapan kötü amaçlı reklamlar büyük ölçüde bir Windows sorunu olsa da, Mac kullanıcıları da hedef alınıyor.
Özet
- Google aramalarına yönelik kötü amaçlı reklamlar Mac kullanıcılarını hedefliyor
- Kimlik avı siteleri, kurbanları istedikleri uygulamayı indirmeleri için kandırıyor
- Kötü amaçlı yazılım, geçici olarak imzalanmış bir uygulamada paketlendiğinden Apple tarafından iptal edilemez
- Yük, OSX için yeni Atomic Stealer’ın yeni bir sürümüdür
giriiş
Son birkaç aydır takip ettiğimiz kötü amaçlı reklam kampanyalarının çoğunluğu Windows kullanıcılarını hedef aldı. Microsoft’un hem masaüstü hem de dizüstü bilgisayarlar için en büyük pazar payına sahip olduğu düşünüldüğünde bu hiç de şaşırtıcı değil.
Ancak yakın zamanda hem Windows hem de Mac kötü amaçlı yazılımlarını zorlayan bir kampanya yakaladık; ikincisi, Mac için yeni ama popüler Atomic Stealer’ın (AMOS) güncellenmiş bir sürümüdür.
AMOS, ilk olarak Nisan 2023’te, kripto varlıklarına güçlü bir şekilde odaklanan, tarayıcılardan ve Apple’ın anahtarlıklarından şifreleri toplayabilen ve aynı zamanda bir dosya yakalayıcı özelliğine sahip olan Mac OS için bir hırsız olarak tanıtılmıştı. Geliştirici proje üzerinde aktif olarak çalışıyor ve Haziran sonunda yeni bir sürüm yayınlıyor.
Araç setini satın alan suçlular, bunu çoğunlukla kırılmış yazılım indirmeleri yoluyla dağıtıyor, ancak aynı zamanda yasal web sitelerini taklit ediyor ve mağdurları cezbetmek için Google gibi arama motorlarındaki reklamları kullanıyor. Bu blog yazısında, TradingView’i hedefleyen bir kampanya hakkında ayrıntılar vereceğiz. Finansal piyasaları takip etmek için popüler platform ve uygulama.
Dağıtım
Yeni bir program indirmek isteyen kullanıcılar doğal olarak Google’a yönelecek ve bir arama yapacaktır. Tehdit aktörleri, tanınmış markalarla eşleşen reklamları satın alıyor ve mağdurları, sanki resmi sayfaymış gibi sitelerini ziyaret etmeleri için kandırıyor.
TradingView için aşağıdaki reklamda özel yazı tipi karakterleri kullanılıyor (tradıņgsviews[.]iletişim unicode karakterlerle gömülüdür: trad\u0131\u0146gsv\u0131news[.]iletişim) belki de gerçek alan adı gibi görünme ve Google’ın reklam kalitesi kontrollerinde tespit edilmekten kaçınma girişimi olarak:
Google’ın Reklam Şeffaflık Merkezi sayfası, bu reklamveren hesabının Beyaz Rusya’dan birine ait olduğunu gösteriyor. Bu muhtemelen tehdit aktörleri tarafından kullanılan, güvenliği ihlal edilmiş bir reklam hesabıdır.
Kullanıcı reklamı tıkladığında trabingviews’ta barındırılan bir kimlik avı sayfasına yönlendirilir[.]com:
Kimlik avı sayfası
Yem sitesi (trabingviews[.]com) oldukça orijinal görünüyor ve üç indirme düğmesi gösteriyor: Windows, Mac ve Linux için birer tane. Potansiyel bir kimlik avı sitesini tespit etmenin bir yolu, bu sitenin ne zaman oluşturulduğunu kontrol etmektir; bu durumda bu yalnızca birkaç gün önceydi.
Hem Windows hem de Linux düğmeleri, Discord’da barındırılan ve NetSupport RAT’ı düşüren bir MSIX yükleyicisine işaret ediyor:
https://cdn[.]discordapp[.]com/attachments/1062068770551631992/1146489462025629766/TradingView-x64[.]msix
Mac indirmesi şu adreste barındırılmaktadır:
https://app-downloads[.]org/tview.php
Yük
İndirilen dosya (TradingView.dmg) GateKeeper’ı atlamak için nasıl açılacağına dair talimatlarla birlikte gelir. Normal uygulamalardan farklı olarak, Mac’in Uygulamalar klasörüne kopyalanması gerekmez; yalnızca takılıp çalıştırılır.
Kötü amaçlı yazılım, geçici olarak imzalanmış bir uygulamada paketlenmiştir, yani bu bir Apple sertifikası değildir, dolayısıyla iptal edilemez. Çalıştırıldığında, kurbanlar en sonunda pes edip şifreyi yazana kadar, hiç bitmeyen bir döngüde kullanıcı şifresini sormaya devam edecek.
Saldırganın amacı, programını çalıştırıp kurbanlardan veri çalmak ve ardından bu verileri hemen kendi sunucusuna sızdırmaktır. Aşağıdaki resimde toplanabilecek veri türleri gösterilmektedir:
Herhangi bir bilgi hırsızlığı işleminin kritik bir parçası, çalınan verileri alacak olan arka uç sunucudur. AMOS geliştiricileri müşterilerine aşağıdaki gibi kurşun geçirmez bir sunucu kullanmalarını tavsiye ediyor:
Koruma
Kötü amaçlı reklamcılık, arama motorlarına duydukları güveni kötüye kullanarak yeni kurbanları hedeflemek için etkili bir vektör olmaya devam ediyor. Kötü amaçlı reklamlar, profesyonel görünümlü kimlik avı sayfalarıyla birleştiğinde hemen hemen herkesi kandırabilecek güçlü bir kombinasyon oluşturur.
Mac’te kötü amaçlı yazılımlar gerçekten mevcut olsa da, Windows’taki benzerlerine göre daha az tespit edilme eğilimindedir. AMOS’un geliştiricisi veya satıcısı, araç setlerinin tespitten kaçma kabiliyetine sahip olmasını aslında bir satış noktası haline getirdi.
Yeni bir programı çalıştırmadan önce kökenlerini iki kez kontrol ettiğinizden emin olun. Yeni bir uygulamayı indirmek için bir reklama tıkladıysanız, geri dönüp doğrudan resmi web sitesini yeniden ziyaret etmek isteyebilirsiniz veya en azından mevcut web sitesinin sahte değil, gerçekten doğru olduğunu doğrulamak için biraz zaman harcamak isteyebilirsiniz.
AMOS gibi hırsızlar söz konusu olduğunda, değerli veriler çalınmadan önce kötü amaçlı yazılımları engellemek için gerçek zamanlı korumaya sahip bir antivirüs yazılımı çalıştırmak da önemlidir.
Malwarebytes bu kötü amaçlı yazılımı şu şekilde algılar: OSX.AtomStealer.
Uzlaşma Göstergeleri
Reklam alanı:
xn--tradgsvews-0ubd3y[.]com
Kimlik avı alanı:
trabingviews[.]com
AMOS yükleyici indirmesi:
app-downloads[.]org/tview.php
AMOS yükleyicisi (dmg):
6b0bde56810f7c0295d57c41ffa746544a5370cedbe514e874cf2cd04582f4b0
AMOS kötü amaçlı yazılımı:
ce3c57e6c025911a916a61a716ff32f2699f3e3a84eb0ebbe892a5d4b8fb9c7a
AMOS C2:
185.106.93[.]154
Malwarebytes EDR ve MDR, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüse yakalanmanızı önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz deneme sürümünü edinin.
ŞİMDİ DENE