Google Ads’de barındırılan sahte bir Loom web sitesi üzerinden dağıtılan ve muhtemelen Crazy Evil tehdit grubuyla bağlantılı olan yeni bir AMOS Mac hırsızı çeşidi dolaşımda; bu sürüm, kullanıcıları meşru Loom platformu gibi görünen sahte bir indirme sayfasına yönlendiriyor.
Gelişmiş AMOS hırsızlığı gerçekleştirildiğinde tarayıcı bilgileri, kimlik bilgileri ve kripto para cüzdanı içerikleri gibi hassas verileri karanlık ağda kiralanabilir şekilde sızdırıyor ve siber suçun giderek karmaşıklaştığını ve karlılığını gösteriyor.
Gerçek Loom sitesi solda, kötü niyetli, sahte Loom sitesi ise sağda. Yeni bir AMOS çeşidi, Ledger Live gibi meşru uygulamaları kötü niyetli klonlarla değiştirmesini sağlayan gelişmiş bir uygulama klonlama yeteneği sunuyor.
Güvenilir uygulamalar gibi görünen kötü amaçlı yazılım, gizlice kripto para birimlerini, NFT’leri ve DeFi varlıklarını çalabiliyor ve bu platformlara güvenen Apple kullanıcıları için önemli bir tehdit oluşturuyor.
How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide
Ledger Live gibi meşru uygulamaları, keşfedilen kötü amaçlı klonlarla değiştirebiliyor ve Figma, TunnelBlick ve Callzy gibi popüler uygulamaların sahte sürümlerini oluşturmayı içeriyor.
Bu klonlanmış uygulamalar, Apple’ın App Store güvenliğini aşarak, doğrudan tehlikeye atılmış cihazlara yüklenerek veri hırsızlığı ve diğer kötü amaçlı faaliyetlere olanak tanıdığı için önemli bir tehdit oluşturuyor.
Siber suçlular, dijital varlıklara olan yakınlıkları nedeniyle sıklıkla oyuncuları, özellikle de genç bireyleri hedef alırlar. Yaygın bir taktik, oyun platformlarında sahte iş ilanları veya işe alım reklamları yaymaktır.
Genellikle sahte ödül vaatleriyle birlikte sunulan bu aldatıcı teklifler, kurbanları sistemlerini tehlikeye atmaya veya hassas bilgilerini ifşa etmeye yönlendirmek için sosyal mühendislikten yararlanıyor.
Popüler bir MMORPG olan Black Desert Online’a bağlı bir .dmg dosyasının keşfi bu eğilimi güçlendiriyor ve oyun topluluğunun kötü niyetli kişiler için birincil hedef olduğunu vurguluyor.
Moonlock Lab, üye toplamak için bir Telegram kanalı işleten ve macOS Ledger cüzdanlarını hedef alabilen değiştirilmiş bir AMOS hırsızı dağıtan yeni keşfedilen Crazy Evil adlı siber suç grubunu tespit etti.
Araştırmacılar, aynı hırsız varyantını tanıtan bir işe alım reklamının darknet analizi yoluyla Crazy Evil’ı yakın zamanda gerçekleştirilen bir kampanyayla ilişkilendirdiler; ancak grubun kimliği henüz belirsizliğini korurken, mevcut bir örgütle olası bağlantıları veya tamamen yeni bir varlık olma olasılığı bulunuyor.
Sahte Loom tehdidinin analizi, güçlü kötü amaçlı yazılım bağları olan 85.28.0.47 IP adresini ortaya çıkardı. VirusTotal, bu IP ile ilişkili 93 dosyayı kötü amaçlı olarak işaretledi ve bunu, bir Rus İSS’si olan Gesnet.ru’ya ait bir Rus hükümet kuruluşuna bağlayarak, potansiyel bir ağ çapında tehlikeye işaret etti.
Büyük bir ağ altyapısına sahip olan Rus İSS Gesnet.ru, kötü niyetli kişilere internet erişimi sağlama potansiyeli nedeniyle inceleme altında.
Şirketin kendisi herhangi bir usulsüzlükten haberdar olmasa da özellikleri endişelere yol açıyor: Şirketin merkezi Rusya’da bulunuyor ve mülkiyet, finans ve temel internet bağlantısının ötesindeki hizmetler hakkında sınırlı kamu bilgisi bulunuyor.
Rusya’nın katı yasaları bu şeffaflık eksikliğini daha da kötüleştiriyor ve gayri resmi olarak hükümetin etkisi altında olan İSS pazarının iç işleyişini dışarıdan bakanların anlamasını zorlaştırıyor.
Mac’lere yönelik gelişmiş bir kötü amaçlı yazılım olan AMOS hırsızı, hassas verileri çalmak için güvenlik açıklarından aktif olarak yararlanıyor ve bu veriler gizli uygulamalar ve kötü amaçlı reklamlar aracılığıyla dağıtılıyor.
Riskleri azaltmak için yazılım indirirken son derece dikkatli olun, resmi uygulama mağazalarına sıkı sıkıya bağlı kalın ve çevrimiçi oyun topluluklarında dikkatli olun.
Kötü amaçlı yazılımın uyarlanabilirliği göz önüne alındığında, AMOS’un gelecekteki yinelemelerine karşı korunmak için sürekli farkındalık ve proaktif güvenlik önlemlerinin alınması önemlidir.
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access