Sofistike bir kötü amaçlı yazılım kampanyası, Mac kullanıcılarını meşru yazılım indirmeleri olarak maskelenen hileli GitHub depoları aracılığıyla hedefliyor ve tehdit aktörleri, şüphesiz kurbanlara doğrudan kötü niyetli bağlantılar sunmak için arama motoru optimizasyonu taktiklerini sömürüyor.
LastPass tehdit istihbaratı, hafifletme ve tırmandırma ekibi, MACOS kullanıcılarını, kötü şöhretli atomik çalma kötü amaçlı yazılımlarını dağıtmak için tasarlanmış aldatıcı GitHub sayfaları aracılığıyla hedefleyen devam eden yaygın bir Infostealer operasyonu belirledi.
Arama motoru manipülasyonu, trafiği kötü amaçlı sitelere yönlendirir
Kampanya, Google ve Bing dahil olmak üzere önemli platformlarda arama sonuçlarının başında kötü niyetli GitHub depolarının görünmesini sağlamak için SEO zehirlenmesinden yararlanarak gelişmiş sosyal mühendislik tekniklerini göstermektedir.
Kullanıcılar meşru yazılım indirmeleri aradıklarında, resmi şirket depoları gibi görünen ancak aslında siber suçlular tarafından oluşturulan ayrıntılı cephelerle karşılaşırlar.
Tehdit aktörleri, teknoloji şirketleri, finansal kurumlar ve şifre yönetimi hizmetleri de dahil olmak üzere birçok sektörde çok sayıda yüksek profilli kuruluşu hedefleyen geniş bir ağ oluşturdu.
Kişisel verilerin doğrulanmasını isteyerek kullanıcı bilgilerini çalmak için LastPass’i taklit eden bir kimlik avı e -postası örneği
LastPass araştırmacıları, her ikisi de 16 Eylül’de “Modhopmduck476” kullanıcısı tarafından oluşturulan hizmetlerini taklit eden iki hileli GitHub sitesi keşfettiler.
Bu depolar, şirket isimlerini ve “MacOS”, “Mac” ve “MacBook On Premium” gibi MAC’a özgü terminolojiyi içeren ikna edici manşetler içeriyordu.
Kötü niyetli sayfalar, kurbanları “Ahoastock825’te ikincil bir evreleme sitesine yönlendiren“ MacBook’a Kurulum ”sunduğunu iddia eden bağlantıları içeriyordu.[.]zımpara[.]IO/.Github/LastPass. “
Saldırı, kurbanlar hileli Github sayfasını ziyaret ettiklerinde başlayan ve “MacPrograms-Pro[.]com/mac-git-2-download.html. “
Bu ikincil site, kullanıcılara Base64 kodlu bir URL’ye kıvrılma isteği başlatan bir terminal komutunu kopyalayıp yapıştırmalarını söyler.
Kodlanmış URL, “Bonoud[.]com/get3/install.sh ”, daha sonra sistemin geçici dizinine” güncelleme “dosyası olarak gizlenmiş bir yükü indirir.
Atomik Stealer analizi ile tutarlı olarak bir macOS Truva Damlayıcısı kötü amaçlı yazılım tanımlayan birden fazla güvenlik satıcısını gösteren kötü amaçlı yazılım algılama raporu
Sektördeki güvenlik ekipleri, bu kampanyayla ilgili uzlaşma göstergelerini aktif olarak izliyor ve LastPass müşterilerini hedefleyen hileli depolara karşı önde gelen yayından kaldırma çabaları.
Şirket, belirlenen kötü niyetli siteleri başarıyla kaldırdı ve bu gelişen tehdit manzarasıyla mücadele etmek için tehdit istihbaratını diğer güvenlik kuruluşlarıyla paylaşırken kesintiye uğrama faaliyetlerini sürdürmeye devam ediyor.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.