Kötü amaçlı reklamlar ve sahte web siteleri, Atomic Stealer dahil olmak üzere Apple macOS kullanıcılarını hedef alan iki farklı hırsız amaçlı kötü amaçlı yazılım yaymak için bir kanal görevi görüyor.
Jamf Threat Labs, Cuma günü yayınlanan bir raporda, macOS kullanıcılarını hedef alan devam eden bilgi hırsızlığı saldırılarının, kurbanların Mac'lerini tehlikeye atmak için farklı yöntemler benimsemiş olabileceğini, ancak nihai hedefin hassas verileri çalmak olduğunu söyledi.
Bu tür bir saldırı zinciri, kullanıcıları benzer sitelere yönlendiren sahte reklamlar sunmak için Google gibi arama motorlarında Arc Tarayıcıyı arayan kullanıcıları hedef alır (“airci[.]net”) kötü amaçlı yazılıma hizmet eder.
Güvenlik araştırmacıları Jaron Bradley, Ferdous Saljooki ve Maggie Zirnhelt, “İlginç bir şekilde, kötü amaçlı web sitesine hata döndürdüğü için doğrudan erişilemiyor” dedi. “Muhtemelen tespit edilmekten kaçınmak için yalnızca oluşturulmuş bir sponsorlu bağlantı aracılığıyla erişilebilir.”
Sahte web sitesinden (“ArcSetup.dmg”) indirilen disk görüntü dosyası, kullanıcılardan sahte bir istem yoluyla sistem şifrelerini girmelerini talep ettiği ve sonuçta bilgi hırsızlığını kolaylaştırdığı bilinen Atomic Stealer'ı sunuyor.
Jamf, Meethub adında sahte bir web sitesi de keşfettiğini söyledi[.]Ücretsiz bir grup toplantısı planlama yazılımı sunduğunu iddia eden gg, aslında kullanıcıların anahtarlık verilerini, web tarayıcılarında saklanan kimlik bilgilerini ve kripto para birimi cüzdanlarındaki bilgileri toplayabilen başka bir hırsız kötü amaçlı yazılım yüklüyor.
Realst olarak bilinen Rust tabanlı bir hırsız ailesiyle örtüştüğü söylenen kötü amaçlı yazılım, Atomic hırsızına benzer şekilde, kötü niyetli eylemlerini gerçekleştirmek için bir AppleScript çağrısı kullanarak kullanıcıdan macOS giriş şifresini istiyor.
Bu kötü amaçlı yazılımdan yararlanan saldırıların, mağdurlara iş fırsatlarını tartışma bahanesiyle yaklaştığı söyleniyor. bir podcast için onlarla röportaj yapmakardından Meethub'dan bir uygulama indirmelerini istiyor[.]gg, toplantıya davet edilen bir video konferansa katılmaya davet eder.
Araştırmacılar, “Bu saldırılar genellikle kripto endüstrisindekilere odaklanıyor, çünkü bu tür çabalar saldırganlara büyük kazançlar sağlayabilir” dedi. “Sektördekiler, varlık sahibi olduklarına veya onları bu sektöre sokan bir şirkete kolayca bağlanabileceklerine dair kamuya açık bilgileri bulmanın genellikle kolay olduğunun son derece farkında olmalıdır.”
Bu gelişme, MacPaw'un siber güvenlik bölümü Moonlock Lab'ın, kötü amaçlı DMG dosyalarının (“App_v1.0.4.dmg”) tehdit aktörleri tarafından, çeşitli uygulamalardan kimlik bilgilerini ve verileri ayıklamak için tasarlanmış bir hırsız kötü amaçlı yazılım dağıtmak için kullanıldığını açıklamasının ardından geldi.
Bu, Rusya'daki bir IP adresinden alınan, gizlenmiş bir AppleScript ve bash yükü aracılığıyla gerçekleştirilir; bunlardan ilki, kullanıcıları sistem şifrelerini sağlamaları için kandırmak amacıyla (yukarıda belirtildiği gibi) aldatıcı bir istem başlatmak için kullanılır.
Güvenlik araştırmacısı Mykhailo Hrebeniuk, “Zararsız bir DMG dosyası olarak gizlenen bu dosya, kimlik avı görüntüsü yoluyla kullanıcıyı kuruluma kandırıyor ve kullanıcıyı macOS'un Gatekeeper güvenlik özelliğini atlamaya ikna ediyor” dedi.
Bu gelişme, macOS ortamlarının giderek daha fazla hırsız saldırıları tehdidi altında olduğunun bir göstergesi; hatta bazı türler, tespitten kaçınmak için kendi kendini yok eden bir öldürme anahtarını etkinleştirerek gelişmiş sanallaştırma önleme teknikleriyle övünüyor.
Son haftalarda, kötü amaçlı reklam kampanyalarının, FakeBat yükleyiciyi (aka EugenLoader) ve Rhadamanthys gibi diğer bilgi hırsızlarını Go tabanlı bir yükleyici aracılığıyla Notion ve PuTTY gibi popüler yazılımlar için tuzak siteler aracılığıyla yönlendirdiği de gözlemlendi.