Hackerlar, Odyssey MacOS Stealer’ı dağıtmak için sahte Microsoft Teams sitesini silahlandırıyor

   Eylül 5, 2025  Posted in CyberSecurityNews


Sahte Microsoft Teams sitesi silahlı

Sofistike bir siber kampanya, resmi Microsoft Teams indirme sayfasını taklit eden aldatıcı bir web sitesi aracılığıyla güçlü “Odyssey” bilgi stealer’ı dağıtarak macOS kullanıcılarını hedefliyor.

CloudSek’in Triad’ındaki araştırmacılar tarafından tanımlanan saldırı, kurbanları kandırmak için “tıklama” saldırısı olarak bilinen bir sosyal mühendislik tekniğini, hassas verileri sistematik olarak toplayan, uzun vadeli kalıcılık oluşturan ve hatta meşru kripto para uygulamalarını trojanize versiyonlarla değiştiren kötü amaçlı kodlar kullanıyor.

Bu kampanya, Tehdit aktörlerinin aynı kötü amaçlı yazılımları sunmak için sahte bir TradingView sitesi kullandığı Ağustos 2025’in başlarında ForcePoint tarafından bildirilen benzer bir saldırıdan taktik bir evrimi temsil ediyor.

Google Haberleri

Cazibelerini Microsoft Teams gibi güvenilir bir kurumsal uygulamaya kaydırarak, saldırganlar daha geniş bir kurban yelpazesini içermek için ağlarını genişletiyorlar.

Saldırı, bir kullanıcı ekipler için bir Microsoft Güvenlik Doğrulama sayfası gibi görünmek üzere tasarlanmış hileli bir web sayfasına indiğinde başlar. Sayfa, kullanıcıya bir komutu kopyalayarak ve macOS terminaline yapıştırarak sözde “olağandışı web trafiği” sorununu çözme talimatı verir.

Sahte takımlar sitesi
Sahte takımlar sitesi

Sayfa görünüşte zararsız bir komut görüntülerken, “Kopyala” düğmesi aslında kullanıcının panosuna kötü niyetli, baz64 kodlu bir Applescript yükü yerleştirir. Şüphesiz bir kullanıcı bu komutu yürüttüğünde, farkında olmadan Odyssey Stealer’ı başlatırlar.

Odyssey’in kötü niyetli yükü

Aktif olduktan sonra, kötü amaçlı yazılım sistemi iyice tehlikeye atmak için çok aşamalı bir işlem başlatır:

  1. Kimlik Doğru hırsızlığı: Komut dosyası ilk olarak, “Gerekli uygulama yardımcısı. Devam etmek için cihaz şifresi girin” yazan sahte bir iletişim kutusu sunarak kullanıcının şifresini kazanmaya çalışır. Doğru şifre sağlanana kadar kullanıcıyı acımasızca ister. Bu şifre daha sonra MacOS Giriş Anahtarına ve Chrome Tarayıcının Anahtarına erişmek ve çalmak için kullanılır.
  2. Yaygın veri toplama: Odyssey, çok çeşitli kişisel ve finansal bilgileri toplayan enfekte olmuş makinenin kapsamlı bir taramasını yapar. Bu şunları içerir:
    • Apple Ekosistem: Çerezler ve kaydedilmiş form değerleri gibi safari tarayıcı verileri ile birlikte ekler dahil tüm Apple Notes veritabanını çıkarır.
    • Tarayıcı eserleri: Kötü amaçlı yazılım, krom tabanlı tarayıcıları (Chrome, Edge, Cesur, Opera) ve Firefox tabanlı tarayıcıları, çerezleri çalma, web verilerini ve kaydedilmiş girişleri hedefler. Ayrıca, şifre yöneticilerine ve Metamask gibi kripto cüzdanlarına odaklanan uzun bir tarayıcı uzantısı listesinden veriler için özel olarak avlanır.
    • Kripto para birimi cüzdanları: Electrum, Exodus, Atomic, Wasabi, Ledger Live ve Trezor Suite dahil olmak üzere çok sayıda masaüstü kripto para cüzdanından verileri tekrarlayan bir şekilde kopyalar.
    • Kişisel Dosyalar: Stealer, kullanıcının masaüstünde ve belgeler klasörlerini, .txt, .pdf, .doc, .wallet ve .KEY gibi uzantıları olan dosyaları arar, bu dosyaların 10MB’a kadar pesfiltrasyon için bir araya gelir.
  3. Pesfiltrasyon: Hasat edilen tüm veriler, adlı tek bir arşiv dosyasına sıkıştırılır out.zip geçici bir dizinde. Bu dosya daha sonra 185.93.89.62 IP adresinde bulunan bir komut ve kontrol (C2) sunucusuna gönderilir. Aynı sunucu, Odyssey Stealer araç seti için giriş panelini barındırır.
Kötü Yazılım Giriş Sayfası
Kötü Yazılım Giriş Sayfası
  1. Kalıcılık ve kurcalama: Uzun vadeli erişim sağlamak için Odyssey, başlangıçta otomatik olarak çalışan bir hizmet olan bir LaunchDaemon oluşturur. Yönetici ayrıcalıkları için daha önce çalınan parolayı kullanarak bu arka kapıyı yükler. Özellikle yüzsüz bir hareketle, kötü amaçlı yazılım meşru defter canlı başvuru sürecini öldürür, uygulamayı siler ve C2 sunucusundan indirilen çok sayıda bir sürümle değiştirir ve saldırganlara kullanıcının kripto donanım cüzdan etkileşimleri üzerinde doğrudan kontrol sağlar.

Hafifletme

Mağdurların sonuçları, kimlik bilgisi hırsızlığı ve veri ihlallerinden tehlikeye atılan kripto para cüzdanlarından elde edilen önemli finansal kayıplara kadar ciddidir. Kalıcılık mekanizması, bir kerelik veri hırsızlığından sonra bile, sistemin tehlikeye girdiği ve daha fazla saldırıya karşı savunmasız kaldığı anlamına gelir.

Bu tehdide karşı savunmak için, güvenlik uzmanları aşağıdaki önlemleri önerir:

  • Ağ İzleme: Bilinen C2 IP adresine trafiği engelleyin (185.93.89[.]62) ve büyük zip dosyaları içeren olağandışı giden post istekleri izleyin.
  • Son nokta güvenliği: Düzenli olarak denetlemek /Library/LaunchDaemons/ Şüpheli dosyalar için ve yeni, beklenmedik osascript infazlar.
  • Kullanıcı uyanıklığı: Web siteleri terminalde komutları çalıştırmanızı istediğinde çok dikkatli olun. Devam etmeden önce indirme sayfalarının gerçekliğini doğrulayın.
  • Olay Yanıtı: Bir enfeksiyondan şüpheleniliyorsa, temiz bir sistemden tüm kritik şifreleri (Apple Kimliği, E -posta, Bankacılık, Kripto Cüzdanları) derhal sıfırlayın. Trojanize Ledger Canlı Uygulamasını kaldırın ve kötü amaçlı yazılımların tamamen kaldırılmasını sağlamak için tam bir sistem silme ve yeniden oluşturmayı düşünün.

Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.



Source link