MacOS kullanıcılarını hedefleyen “sahte Deepseek kampanyası” olarak adlandırılan yeni bir siber saldırı kampanyası keşfedildi. Çince geliştirilmiş bir AI chatbot olan Deepseek, küresel olarak hızla popülerlik kazandı.
Tehdit aktörleri, kötü amaçlı yazılım sunmak ve kullanıcıların bilgisayarlarını enfekte etmek için popülaritesini kullanmaya başladı.
Bu kampanya, hassas verileri tehlikeye atılmış sistemlerden doldurmak için sofistike bir kötü amaçlı yazılım parçası olan Poseidon Stealer’ı dağıtmak için tasarlanmıştır.
X Hands @G0NJXA olan güvenlik araştırmacıları, macOS ortamlarına sızmak için sahte uygulamalar ve kötü amaçlı yüklerden yararlanan kampanyayı belirlediler.
Sahte Deepseek kampanyası, kullanıcıları kötü amaçlı dosyaları indirmeye ve yürütmeye kandırarak meşru yazılım olarak maskeleniyor.
Kötü amaçlı yazılım, kimlik avı bağlantıları ve tehlikeye atılmış web siteleri aracılığıyla dağıtılır ve saldırganlar görünüşte meşru indirmelerde kullanıcı güvenini kullanır.
SOC/DFIR ekiplerinden misiniz? -kötü amaçlı yazılım dosyalarını ve bağlantılarını herhangi biriyle analiz edin.
Uygulandıktan sonra, kötü amaçlı yazılım, aşağıdakileri içeren çok çeşitli hassas bilgileri toplayabilen Poseidon Stealer’ı sunar:
- Tarayıcı ile saklı kimlik bilgileri
- Kripto para cüzdanları
- Sistem bilgileri
- Anahtarlama verileri
Kötü amaçlı yazılım dağıtım mekanizması
Kampanya, kötü amaçlı sunucularda barındırılan bir örnek FFEF9D958BCC1D869639B785F36DFA035CDD41E35C1417B4E9895DC6A2D9017F ile tanımlanan bir dosya kullanır.
Bu dosya analiz edildi ve piyasaya sürüldükten sonra Poseidon Stealer’ı yürüten bir truva uygulaması olarak bulundu.
Kötü amaçlı yazılım, komut almak ve çalıntı verileri dışarı atmak için 65.20.101.215/p2p adresinde bulunan komut ve kontrol (C2) sunucusu ile iletişim kurar.
Davranışsal göstergeler
Sandbox analiz raporlarına göre, kötü amaçlı yazılım aşağıdaki davranışları sergilemektedir:
- MacOS listesi dosyalarını değiştirerek kalıcılık mekanizmaları oluşturur.
- Tespitten kaçınmak için meşru sistem süreçlerinden yararlanır.
- Veri iletimi için C2 sunucusuyla şifreli iletişim kurar.
Bu sahte kodu, Poseidon’un macOS sistemlerinde nasıl kalıcılık oluşturduğunu göstermektedir. Bu kod, kullanıcının ~/kütüphane/LaunchAgents dizininde bir lansman aracısı PLIST dosyası oluşturur ve sistemin her başladığında kötü amaçlı yazılımın yürütülmesini sağlar.
Uzlaşma Göstergeleri (IOCS)
Güvenlik ekipleri aşağıdaki IOC’leri izlemelidir:
- Ağ trafiği 65.20.101.215/p2p’ye
- ~/Kütüphane/lansmanlarda şüpheli Plist dosyaların varlığı
- Yüksek ayrıcalıklarla bilinmeyen ikili dosyaların yürütülmesi
Sahte Deepseek kampanyası, genellikle pencerelerden daha az savunmasız olarak algılanan macOS kullanıcılarını hedefleyen siber saldırıların artan sofistike olduğunu vurgulamaktadır.
Saldırganlar, kalıcılık mekanizmaları ve şifreli C2 iletişimi gibi gelişmiş tekniklerden yararlanarak, saldırganlar algılamadan kaçınırken kritik verileri çalmayı amaçlamaktadır.
Bu tür tehditleri engellemek ve hassas bilgilerin kötü niyetli ellere düşmesini önlemek için uyanıklık ve proaktif güvenlik önlemleri şarttır.
Jenkins & Jira -> Ücretsiz Web Semineri kullanarak uygulama güvenliğini CI/CD iş akışlarınıza entegre etmek