Bilgisayar korsanları, insanların bu uygulamalara olan güvenini ve aşinalığını suistimal etmek için sıklıkla Microsoft Teams gibi popüler araçları taklit ederler.
Bu strateji, kullanıcıların daha sonra bu kötü amaçlı yazılımı indirip yükleme olasılığını artırarak, saldırganların sistemlere erişmesine, kritik bilgileri çalmasına ve hemen tespit edilmeden başka saldırılar başlatmasına olanak tanır.
MalwareBytes siber güvenlik araştırmacıları yakın zamanda macOS kötü amaçlı yazılımları dağıtan sahte Microsoft Teams keşfetti.
Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files
Sahte macOS Kötü Amaçlı Yazılımı
Microsoft Teams reklamı olarak gizlenen Atomic Stealer kötü amaçlı yazılımı, Mac kullanıcılarını hedef alan en son kötü amaçlı reklam kampanyasıdır. Benzer stratejiler kullanan Poseidon (OSX.RodStealer) tehdidinin yakın zamanda ortaya çıkmasının hemen ardından geldi.
Birkaç gün sürdü ve tespit edilmekten kaçınmak için çeşitli gelişmiş filtreleme yöntemleri kullanıldı.
Reklamda Microsoft görüntüleniyor olsa da[.]com, Microsoft’u ilgilendirmiyor ve Hong Kong’da bulunan ve birbiriyle alakasız birçok reklamı bulunan bir reklamverenden geliyor.
Bu durum, macOS hırsızları arasındaki rekabetin sürdüğünü ve kötü amaçlı yazılımları yaymak için popüler iletişim araçlarını kullandıklarını gösteriyor.
Kullanıcılar, kullanıcı profili oluşturma, gizleme ve bir aldatma sayfası içeren karmaşık bir saldırı zincirine sahip kurnaz bir Microsoft Teams reklamı tarafından hedef alınır. Daha sonra kurban, Teams gibi görünen özel olarak oluşturulmuş bir kötü amaçlı yazılımı indirmeye kandırılır.
Kurulum süreci, Apple’ın savunmalarını aşmak için insan müdahalesini zorunlu kılıyor. Atomic Stealer, bu açığı dosya sistemine girmek ve anahtarlık parolalarını çalmak için kullanıyor.
Veri kaybı, kullanıcı tarafından fark edilmeden uzak sunucuya gönderilen tek bir kodlanmış POST isteğinde gerçekleşir.
Malwarebytes raporunda, tehdit aktörlerinin dağıtım kampanyalarının giderek yoğunlaştığı, bunun da arama motorları aracılığıyla uygulama indirmeyle ilişkili riskleri artırdığı belirtiliyor.
Benzer şekilde kullanıcılar, sponsorlu sonuçlarda kötü amaçlı reklamlara ve hacklenmiş sitelerde SEO zehirlenmesine maruz kalmaktadır.
Sonuç olarak, zararlı yükleyicilere yönelik yönlendirmelerin, herhangi bir indirme işlemi gerçekleşmeden önce bile önlenmesi için reklamların ve kötü amaçlı web sitelerinin görüntülenmesini önleyecek tarayıcı koruma araçlarının kullanılması önerilir.
IoC’ler (Tehdit Göstergeleri)
Gizleme alanı:-
Sahte site:-
İndirme URL’si:-
- yerel olarak abartılmış[.]com/kurkum/script_66902619887998[.]92077775[.]PHP
Atomic Stealer’ın yükü:-
- 7120703c25575607c396391964814c0bd10811db47957750e11b97b9f3c36b5d
Atom Hırsızı C2:-
“Sisteminiz Saldırı Altında mı? Cynet XDR’yi deneyin: Uç Noktalar, Ağlar ve Kullanıcılar için Otomatik Algılama ve Yanıt!” – Ücretsiz Demo