Bilgisayar korsanları ‘Poseidon’ Mac hırsızını sunmak için Google Reklamlarını kullanıyor


Bilgisayar korsanları, macOS cihazlardan parolalar, finansal veriler ve kişisel dosyalar gibi hassas bilgileri gizlice çıkarmak için Mac Stealer’ı kötüye kullanıyor.

Bunun yanı sıra, macOS kullanıcıları veya Mac kullanıcıları değerleme hedefi olarak kabul edilir.

24 Haziran’da Malwarebytes araştırmacıları Poseidon adlı başka bir Mac’e özgü hırsız kampanyasını tespit etti. Bu kampanya Arc tarayıcısı için Google’ın kötü amaçlı reklamlarını kullandı.

Bu, Arc’ın yakın zamanlarda OSX tarafından bir yem olarak kullanılmasının ikinci örneğidir. RodStealer kötü amaçlı yazılım dağıtıyor.

Atomic Stealer ile yarışan tehdit aktörü Rodrigo4 tarafından oluşturulan bu araç daha gelişmiş olup VPN yapılandırmalarını çalabilmektedir.

Google Reklamlarını Kullanan Bilgisayar Korsanları

Bu zararlı yazılımın reklamı XSS ​​yeraltı forumunda bulundu ve Atomic Stealer’a benzer işlevler sunuyor; dosya ele geçirme, kripto cüzdanlarını çıkarma ve şifre yöneticilerini çalma gibi.

"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo

Bu kampanyanın gösterdiği şey, Mac ile ilgili kötü amaçlı yazılımlardan sorumlu saldırganların, her zaman popüler yazılımlardan yararlanırken yeni stratejiler kullanmaya başladıklarıdır.

Arc tarayıcısı için insanları kötü niyetli bir şekilde sahte bir siteye yönlendiren bir Google reklam kampanyası (arc-download[.]Yalnızca Mac sürümü sunan com) “Coles & Co” ve arcthost’a bağlıdır[.]org.

Google arama yoluyla Arc tarayıcısı için kötü amaçlı reklam (Kaynak – Malwarebytes)

İndirilen DMG dosyası, gerçek bir Mac uygulaması yükleme işlemi gibi görünmesini sağlamak için güvenlik amacıyla sağ tıklamayı kullanır.

Önceki kötü amaçlı yazılımların üzerine inşa edilen “Poseidon” adlı bu yeni kötü amaçlı yazılımın, Fortinet ve OpenVPN’den VPN yapılandırmalarını çalmak için eksik kodu var.

Kötü amaçlı yazılım, verileri Poseidon markalı bir kontrol paneline yönlendiren belirli bir IP adresine sızdırıyor ve bu da macOS kullanıcıları için karmaşık ve sürekli değişen bir risk anlamına geliyor.

Aktif bir Mac kötü amaçlı yazılım geliştirme sahnesi Poseidon gibi hırsızlara odaklanır. Tehdit aktörleri, potansiyel müşterilere düşük antivirüs algılama özelliğine sahip, özellik açısından zengin ürünler sunar.

Gözlemlenen kampanya, yeni kurbanların aktif olarak hedef alındığını doğruluyor. Koruma, yeni uygulamalar yüklenirken dikkatli olunmasını gerektirir.

Malwarebytes bu tehdidi OSX.RodStealer adıyla tespit etmeye devam ediyor ve kötü amaçlı reklam hakkında Google’ı bilgilendirdi.

Kullanıcılara, gelişen Mac hedefli tehditlere karşı birincil savunma olarak reklamları ve kötü amaçlı web sitelerini engellemek için Malwarebytes Browser Guard gibi web koruma araçlarını kullanmaları önerilir.

IoC’ler

IoC’ler (Kaynak – Malwarebytes)

Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files



Source link