Crowdstrike, Shamos MacOS kötü amaçlı yazılımlarını (Amos Infostealer’ın yeni bir varyant) yaymak, kimlik bilgilerini çalmak, kripto cüzdanları ve 300’den fazla ortamı hedeflemek için kötüverizasyon kullanarak çerez örümceğini bildiriyor.
Bu yıl Haziran ve Ağustos arasında, rutin teknik sorunlara çözüm arayan macOS kullanıcıları, siber suç grubu Cookie Spider tarafından yürütülen bir kampanya tarafından hedeflendi. Saldırganlar meşru yardım siteleri olarak görünen reklamlar satın aldı, ancak gerçek düzeltmeler sunmak yerine, bu siteler ziyaretçilere terminalde tek satırlık bir komut çalıştırmaları talimatını verdi. Bu komut, Amos Infostealer’ın yeni bir varyantı olan Shamos’u sistemlerine sundu.
Bilgileriniz için, tek satırlık kurulum komutu, siber suçluların giderek daha fazla tercih ettiği bir tekniktir, çünkü macOS bekçi güvenlik kontrollerini atlayarak kötü amaçlı yazılımın uyarıları tetiklemeden yüklemesine izin verir. MacOS cihazlarına, özellikle guguklu stealer ve daha önceki Amos varyantları aracılığıyla gerçekleştirilen önceki kötü amaçlı yazılım saldırıları aynı yaklaşımı kullandı.
Cookie Spider’ın kötü niyetli kampanyasını belirleyen Crowdstrike’daki siber güvenlik araştırmacılarına göre, ABD, İngiltere, Japonya, Kanada, İtalya, Meksika, Çin ve Kolombiya’da kurbanlarla 300’den fazla müşteri ortamını hedefleyen büyük ölçekli bir kampanyaydı.
Kampanyanın başarısı büyük ölçüde basit tutmaya bağlıydı. Örneğin, “MacOS Flush Resolver Cache” gibi ortak bir macOS düzeltmesi arayan bir kullanıcı, tanıtılan bir siteye götürüldü, mac-safercombu meşru görünüyordu. Sayfalar, yararlı görünen ancak ziyaretçileri kötü amaçlı bir komuta kopyalamaya ve çalıştırmaya ikna etmek için tasarlanmış talimatlar sağladı.
Talimatlar arasında, kullanıcıların bir Bash komut dosyası indiren terminale yapıştırmaları için bir komut vardı. Komut dosyası kullanıcının şifresini yakaladı ve daha sonra Shamos yükünü uzak bir sunucudan aldı.
CrowdStrike’ın blog yazısı, Shamos enfekte bir cihazda çalıştıktan sonra, anahtarlık verileri gibi hassas bilgiler için Sistemleri Apple notlarına, tarayıcı kimlik bilgilerine ve hatta kripto para birimi cüzdanlarına kontrol ettiğini belirtiyor.
Kötü amaçlı yazılım daha sonra her şeyi bir ZIP arşivinde eksfiltrasyon için kaydeder. Ayrıca sahte bir defter canlı cüzdan uygulaması ve bir botnet modülü de dahil olmak üzere ekstra yükler indirebilir, bu da onu zaten olduğundan daha büyük bir siber güvenlik tehdidi haline getirir.
Yaymak Shamos
Shamos dağıtma yöntemi, kötü amaçlı yazılımın kendisi kadar önemliydi. Maltizasyon kullanmak onlara şüphesiz kurbanların sürekli bir akışı verdi. Bazı durumlarda, reklamlar, Avustralya merkezli bir elektronik mağazası gibi meşru işletmelerle bağlantılı görünüyordu, bu da suçluların güvenilirlik kazanmak için iş kimliklerini taklit ettiğini gösteriyor.
Bu taktik gibi sahte yardım alanlarına izin verdi mac-safercom Ve rescue-maccom kullanıcıların talimatlarını izleyecek kadar güvenilir görünmek. CrowdStrike ayrıca, kullanıcının LaunchDaemons dizine kötü amaçlı bir özellik listesi (PLIST) dosyası yerleştiren kötü amaçlı yazılımların kanıtlarını gözlemledi. Ayrıca botnet aktivitesini öneren tekrarlanan curl komutları kullandı.
Sadece kötü niyetli değil
Araştırmacılar, kötü yazılım dışında, kötü amaçlı yazılımların, kullanıcıları kötü amaçlı komutlar yürütmeye kandırmak için meşru yazılım projeleri olarak poz veren sahte depolar da dahil olmak üzere Github’u maruz kaldığını belirtti. Bir örnek, Shamos’u indirmek için neredeyse aynı talimatlara sahip sahte bir iterm2 deposunu içeriyordu.
“Bu kampanya zekidir. Tehdit aktörleri daha az teknik kullanıcıları hedefliyor, temel sorunlarla ilgili yardım aramaları yoluyla profilli ve onlara kötü amaçlı yazılımlarının nasıl kurulacakları konusunda adım adım rehberlik ediyorlar” dedi.
“Bu tür bir saldırı muhtemelen KOBİ ve ev kullanıcı segmentine karşı etkilidir. Crowdstrike tekliflerini kullanan türden işletmelerin, bu gibi kötü niyetli kurulumların ayrıcalıklı hesap yönetimi (PAM) yazılımı aracılığıyla engellenmesini beklerdim” dedi.
Bu kampanya, macOS cihazlarının kötü amaçlı yazılım saldırılarından güvenli olmadığını gösteriyor. Bu nedenle, arama motorlarını kullanın, ancak sonuçlarını kendi sorumluluğunuzda tıklayın. Bir bağlantının kötü niyetli olup olmadığını kontrol etmenin en güvenilir yolu, URL’leri açmadan önce tarayan güvenilir bir antivirüs tarayıcı uzantısı kullanmak veya ziyaretten önce siteyi Virustotal ile taramaktır.