Siber güvenlik araştırmacıları, Poseidon Stealer’ı sahte bir Deepseek AI platformu web sitesi aracılığıyla dağıtan sofistike bir macOS kötü amaçlı yazılım kampanyası ortaya çıkardı.
Bu Hizmet Olarak Kötü Yazılım (MAAS) operasyonu, hassas kullanıcı verilerini tehlikeye atmak için anti-analiz teknikleri ile birlikte gelişmiş sosyal mühendislik taktikleri kullanır ve macOS hedefli tehditlerde önemli bir artış işaret eder.
Saldırı zinciri, kullanıcıları Deepseek.exploreio’ya yönlendiren kötü niyetli kampanyalarla başlar[.]Net, meşru Deepseek AI arayüzünün mükemmel bir kopyasını barındıran bir alan.
“Mac OS için İndir” ‘ü tıkladıktan sonra, kurbanlar Deepseek_V adlı bir DMG dosyası alır.[0-9].[0-9]{02}[.]com.
Monte DMG, uygulama demeti olarak maskelenen kötü niyetli bir kabuk komut dosyası içerir:
Bu çok aşamalı yük, macOS bekçi koruyucu korumalarını terminal yoluyla yürütmeyi zorlayarak atlayan komutları yürütmek için OSascript’ten yararlanır.
Komut dosyası .deepseek adlı bir ikili olarak /tmp olarak kopyalar, genişletilmiş öznitelikleri xattr -c ile temizler ve CHMOD +X aracılığıyla yürütülebilir işaretler.
Anti-analiz ve kaçırma teknikleri
Poseidon Stealer katmanlı anti-debugging önlemlerini uygular, ikincil kontrol, işlem durumunda p_trace bayrağını incelemek için sysctl kullanır.
Kötü amaçlı yazılım, kullanıcı adlarının Applescript doğrulaması yoluyla “Maria” veya “Jackiemac” gibi ortak araştırmacı takma adlarını eşleştirip eşleştirmediği sonlandırır.
Yetkilendirme sonrası, reddedilir; Pkill terminali ana işlemden ayrılmak ve adli eserleri kaldırmak için.
Veri Defiltrasyon Mekanizmaları
Poseidon Hasat:
- Chromium/Firefox kimlik bilgileri (çerezler, şifreler, kredi kartları)
- Metamask (nkbihfbeogaeoHlefnkodbefgknn) ve Coinbase cüzdanı (hnfanknocfeofbddgcijnmhnfnkdnaad) dahil olmak üzere 127 hedefli uzanmadan kripto para birimi cüzdan verileri
- Sistem Anahtarı Veritabanları (/library/keychain/login.keychain-db)
- *.Txt, *.pdf, *. Wallet uzantıları eşleşen belgeler
Rapora göre, sahte bir şifre iletişim kutusu, çalınan verileri sıkıştırmadan önce kimlik bilgilerini doğrular. Exfiltration, C2’ye CURL Post istekleri ile 82.115.223[.]9/İletişim.
Azaltma stratejileri
Esentir’in Tru ekibi şunları önerir:
- MDM politikaları aracılığıyla OSASCRICT yürütmeyi kısıtlamak
- Tehditleri tespit etmek ve içermek için NGAV çözümlerinin uygulanması
- Terminal tabanlı yürütme riskleri konusunda kullanıcı eğitimi
Bu kampanya, saldırganların macOS güvenlik kontrollerini atlamada artan sofistike olduğunu gösteriyor.
Sosyal mühendislik, çok aşamalı yükler ve kapsamlı veri hasat yeteneklerinin birleşimi, Poseidon Stealer’ı örgütsel ve macer bir macOS kullanıcıları için kritik bir tehdit olarak konumlandırır.
Esentir, ilgili IOC’ler için devam eden izleme ile birden fazla işletme ağında enfeksiyonların aktif tutulmasını doğrular.
Ücretsiz Web Semineri: Olay yanıtı ve tehdit avı için etkileşimli kötü amaçlı yazılım sanal alanına sahip daha iyi SOC – buraya kaydolun