LastPass, LastPass, 1Password, After Effects, Gemini ve diğerleri gibi popüler yazılımları indirmek isteyen macOS kullanıcıları, LastPass uyardı.
Kötü amaçlı yazılım sunum kampanyası devam ediyor ve yaygın
Sahneyi ayarlamak için, saldırganlar ilk olarak macOS için popüler yazılıma ev sahipliği yapan hileli GitHub depolarını ayağa kaldırıyor. Sonra şüphesiz kullanıcıları bu sayfalara doğru itiyorlar.
“Tehdit aktörleri, Bing ve Google da dahil olmak üzere arama sayfalarının üst kısmındaki kötü amaçlı sitelerine bağlantılar sunmak için Arama Motoru Optimizasyonu (SEO) kullanıyor. Bu kampanya, teknoloji şirketleri, finansal kurumlar, şifre yöneticileri ve daha fazlası dahil olmak üzere bir dizi şirketi hedefliyor gibi görünüyor.
GitHub sayfaları genellikle hedeflenen şirket/yazılım ve MAC ile ilgili terminolojinin adını içerir (örn. “MacBook’ta LastPass Premium”).
Sahte yazılımı indirmek için tıklayan kullanıcılar GitHub’ı taklit eden başka bir siteye götürülür ve bir komutu Mac’in terminaline kopyalayıp yapıştırması ve “Dönüş” düğmesine basmaları talimatı verilir. Komut, kurbanın makinesinde Amos kötü amaçlı yazılımını indiren ve çalıştıran bir kabuk komut dosyası çalıştırır.
Son olarak, kurbanlardan kurulumun tamamlanabilmesi için cihaz şifrelerini girmeleri istenir.
İkincil Site (Kaynak: LastPass)
Shamos Infostealer’ı MacOS kullanıcılarına teslim etmeyi amaçlayan önceki bir kampanyada olduğu gibi, bu saldırganlar da potansiyel kurbanların MacOS’un bekçi ve XProtect’i tetiklemeden makinelerini enfekte etmelerini sağlamak için ClickFix Sosyal Mühendislik Hilesini kullanıyorlar.
Ne yapalım?
LastPass, hileli Github depolarını işaretleyip kaldırarak kampanyayı bozuyor. İkincil site de kaldırıldı.
Ancak bu kampanyanın arkasındaki dolandırıcıların çabalarını durdurması pek olası değildir ve bu yüzden şirket MAC kullanıcılarını dikkatli olmaya çağırıyor.
Ayrıca, saldırganların bu kampanya sırasında oluşturduğu birçok GitHub deposunun URL’leri de dahil olmak üzere uzlaşma göstergeleri de yayınladılar. URL’ler, çeşitli popüler yazılımları indirmek isteyen kullanıcıları hedeflediklerini gösteriyor:
- Audacity (Ses Editörü)
- Zengo (kripto cüzdanı)
- Basecamp (Proje Yönetim Yazılımı)
- Karbon Kopya Kloneri (yedekleme yazılımı)
- Citibank On MacBook (Citibank İşlemleri için Toplulukla Gelişmiş Masaüstü Uygulaması)
- Fliki (AI video editörü)
- Gunbit (kripto ticareti yapan bot) ve diğerleri.
Atomik stealer’ı yüklemeye kandırılan kullanıcılar, şifrelerini, çerezlerini, bankacılık kimlik bilgilerini ve kripto wallet anahtarlarını tehlikeye atmalı ve hasar kontrolü yapmaya devam etmelidir.
Tüm kullanıcılar:
- Github depolarından yazılım indirmekten kaçının, zaten bildikleri gerçek geliştiriciye ait
- Rastgele kaynaklardan terminal komutlarını çalıştırmak
- Bir dosya yürütüldükten sonra kötü niyetli davranışları algılayabilen uç nokta güvenlik çözümünü kullanın.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!