Malwarebytes araştırmacıları, Atomic Stealer macOS kötü amaçlı yazılımının daha yeni bir sürümünün, işletim sisteminin Gatekeeper’ını atlamasını sağlayan yeni bir numaraya sahip olduğunu keşfetti.
Google reklamları aracılığıyla sunulan Mac kötü amaçlı yazılımları
İlk kez Nisan 2023’te tanıtılan kötü amaçlı yazılım, tarayıcılardan, Apple’ın anahtar zincirinden, dosyalardan, kripto cüzdanlarından ve daha fazlasından şifreleri ele geçirebilen bir bilgi hırsızıdır.
Malwarebytes araştırmacısı Jérôme Segura, “Araç setini satın alan suçlular, bunu çoğunlukla kırılmış yazılım indirmeleri yoluyla dağıtıyor, ancak aynı zamanda meşru web sitelerini taklit ediyor ve mağdurları cezbetmek için Google gibi arama motorlarındaki reklamları kullanıyor” diyor.
Araştırmacının tespit ettiği son dağıtım kampanyasında, kötü amaçlı yazılım, finansal piyasaları izlemeye yönelik popüler bir platform ve uygulama olan TradingView olarak karşımıza çıkıyor. Potansiyel kurbanlar, kötü amaçlı bir reklam tarafından, meşru platformun sayfasını taklit eden bir kimlik avı sitesine yönlendirilir.
Sayfada üç indirme düğmesi bulunur: Windows ve Linux’ta Discord’dan RAT indirilmesi tetiklenirken macOS’ta üçüncü taraf bir siteden Atomic Stealer indirilir.
İndirilen macOS hırsızı, kullanıcılara dosyanın nasıl açılacağı konusunda talimat veriyor. Kurbanlar bunun farkında değil ancak açılış süreci, macOS’un kod imzalamayı zorunlu kılan ve indirilen uygulamaları doğrulayan güvenlik özelliği olan Gatekeeper’ı atlamayı amaçlıyor.
İndirilen dosya (TradingView.dmg), nasıl açılacağına ilişkin talimatlarla birlikte gelir. (Kaynak: Malwarebytes)
Segura, “Normal uygulamalardan farklı olarak, Mac’in Uygulamalar klasörüne kopyalanmasına gerek yok, yalnızca monte edilip çalıştırılıyor” dedi.
“Kötü amaçlı yazılım, geçici olarak imzalanmış bir uygulamada paketlenmiştir, bu da onun bir Apple sertifikası olmadığı anlamına gelir, dolayısıyla iptal edilemez. Çalıştırıldığında, kurbanlar en sonunda pes edip şifreyi yazana kadar, hiç bitmeyen bir döngüde kullanıcı şifresini sormaya devam edecek.”
Son olarak saldırgan, tarayıcılardan veya anahtarlıklardan şifreler, otomatik doldurmalar, kullanıcı bilgileri, kripto cüzdanlar, dosyalar ve çerezler gibi verileri sızdırmaya başlar.
MacOS kötü amaçlı yazılımı giderek daha popüler hale geliyor
Geçtiğimiz yıl boyunca siber suçlular, kullanıcıları yasal görünen web sitelerine yönlendirmenin ve onları kötü amaçlı yazılım indirmeleri için kandırmanın bir yolu olarak Google Arama reklamlarına olan güvenlerini artırdı.
Daha fazla tüketici ve kurumsal kullanıcı Mac kullanmaya başladıkça, Apple’ın makineleri kötü niyetli aktörler için giderek daha çekici bir hedef haline geliyor.
“Mac’te kötü amaçlı yazılımlar gerçekten mevcut olsa da, Windows’taki benzerlerine göre daha az tespit ediliyor. Atomic Stealer’ın geliştiricisi veya satıcısı, aslında araç setlerinin tespitten kaçma kabiliyetine sahip olmasını bir satış noktası haline getirdi” dedi Segura.
Kullanıcılar, uygulama veya programları indirirken, özellikle de bunları Google üzerinden ararken dikkatli olmalıdır. Yalnızca resmi sitelerden veya güvenilir kaynaklardan (örn. App Store) indirilmelidirler.
Yöneticilerin ağlarındaki kötü amaçlı etkinlikleri tespit etmelerine ve düzeltmelerine yardımcı olmak için Malwarebytes ayrıca güvenlik ihlali göstergelerini (IoC) paylaştı.