Geçtiğimiz yıl boyunca macOS kullanıcıları, özellikle de kripto para sektöründekiler, bilgi hırsızlarının hedefi haline geldi. Bu kötü amaçlı programlar, kripto cüzdanlardan kimlik bilgilerini ve verileri toplamayı amaçlamaktadır.
amf Threat Labs bu tehditlerin gelişimini izliyor ve kurbanların macOS sistemlerine bilgi hırsızlığını başarıyla yerleştiren iki yeni saldırı tespit etti.
İlk saldırı, yalnızca reklam bağlantısı aracılığıyla erişilebilen, kötü amaçlı bir web sitesine yönlendiren sahte sponsorlu bir “Arc Tarayıcı” reklamını içeriyor.
Bu site, tespit edilmekten kaçınmak için xor kodlamasını kullanan ve bilgi çalmak için AppleScript'i kullanan Atomic Stealer kötü amaçlı yazılımının bir çeşidini dağıtmaktadır.
Bir Sonraki İhlalden Kaçınmak İçin Ücretsiz CISO Kılavuzunu İndirin
SOC Ekibi, Ağ Güvenliği veya Güvenlik Yöneticisi veya CSO'dan mısınız? Bulut tabanlı, bütünleşik ağ güvenliğinin güvenliği nasıl iyileştirdiğini ve TCO'yu nasıl azalttığını öğrenmek için Perimeter Kılavuzunu indirin.
- Sıfır güven stratejisinin önemini anlayın
- Ağ güvenliği Kontrol Listesini tamamlayın
- Eski bir VPN'e güvenmenin neden artık geçerli bir güvenlik stratejisi olmadığını görün
- Bulut tabanlı bir ağ güvenliği çözümüne geçişin nasıl sunulacağına ilişkin öneriler alın
- Birleşik ağ güvenliğinin eski yaklaşımlara göre avantajlarını keşfedin
- Ağ güvenliğini en üst düzeye çıkaran araçları ve teknolojileri keşfedin
Perimeter 81'in bulut tabanlı, birleşik ağ güvenliği platformuyla değişen tehdit ortamına zahmetsizce uyum sağlayın.
Ücretsiz PDF Kılavuzunu İndirin
Yukarıda incelenen Atomik hırsız örneğine benzer şekilde, bu hırsız aynı zamanda aşağıdaki AppleScript çağrısını kullanarak kullanıcıdan macOS oturum açma şifresini ister.
Google ad services link:
hXXps://www.googleadservices.com/pagead/aclk?sa=L&ai=DChcSEwiC8Jm6-ZSFAxUIwUwCHXbYB3MYABAAGgJ0bQ&ase=2&gclid=EAIaIQobChMIgvCZuvmUhQMVCMFMAh122AdzEAAYASAAEgKHuvD_BwE&ei=0lQEZp-wCbWqptQP-Kq0mA8&ohost=www.google.com&cid=CAASJORoo4VHmMOQTyTY97tSpGDZA1DEcypIUn9R0xOdHJi1x9N3KQ&sig=AOD64_2IOygLFSykCaouP6GmJOVlWRg3AA&q&sqi=2&nis=4&adurl&ved=2ahUKEwif4Y66-ZSFAxU1lYkEHXgVDfMQ0Qx6BAgJEAE
Kötü amaçlı yazılım, anahtarlık verilerine erişmek için kullanıcılardan macOS şifrelerini ister ve çalınan bilgileri saldırganın sunucusuna gönderir.
Saldırı 2: Meethub Uygulaması
İkinci saldırıda sanal bir toplantı platformu gibi görünen sahte bir Meethub uygulaması kullanılıyor. Çevrimiçi ortamda önemli bir varlığa sahip olan saldırganlar, kurbanları sosyal medyadaki doğrudan mesajlarla, podcast kayıtları veya iş fırsatları gibi konuları tartışarak cezbediyor.
İmzasız Meethub uygulaması indirildikten sonra kullanıcılardan macOS şifrelerini ister ve hassas verileri çıkarmak için aşağıdakiler dahil çeşitli araçlar kullanır:
- tarayıcı giriş verilerinden kullanıcı adlarının ve şifrelerin toplanması
- kredi kartı ayrıntılarını çekme yeteneği
- Aralarında Ledger ve Trezor'un da bulunduğu yüklü kripto cüzdan listesinden veri çalmak
Çalınan veriler daha sonra saldırganın sunucusuna gönderilir.
Rapora göre bu saldırılar, kripto para endüstrisindeki macOS kullanıcılarını hedef alma eğiliminin arttığını gösteriyor.
Saldırganlar, bilgi hırsızlarını devreye sokmadan önce yakınlık kurmak ve güven kazanmak için gelişmiş sosyal mühendislik tekniklerini kullanır.
Kullanıcılar, özellikle kripto para birimiyle ilgili olanlar olmak üzere, istenmeyen iletişimlere karşı dikkatli ve dikkatli olmalıdır. Her zaman başvuruların meşruiyetini doğrulamalı ve hassas bilgi veya kimlik bilgileri sağlarken dikkatli olmalıdırlar.
SOC ve DFIR Ekiplerinden misiniz? – Linux Kötü Amaçlı Yazılım Olaylarını analiz edin ve ANY.RUN ile canlı Erişim elde edin -> Şimdi Ücretsiz Başlayın.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.