Crowdstrike araştırmacıları, suçluların MacOS kullanıcılarının makinelerini Shamos Infostealer ile enfekte etmelerini sağlamak için teknik sorunları çözme ihtiyacından yararlanıyor.
MacOS güvenlik özelliklerinin kurulumu engellemesini önlemek için, kötü amaçlı yazılım satıcıları, kötü niyetli komutlar çalıştıran kullanıcılara dayanan ClickFix tekniğini kullanıyor.
Shamos Kötü Yazılım Teslim Kampanyası
Haziran ve Ağustos 2025 arasında ortaya çıkan kampanya için, siber dolandırıcılar hileli macOS yarattı ve Google Search’in onlara işaret eden reklamlar sunmasını sağladı:
Kötü niyetli reklam açılır (kaynak: crowdstrike)
Hileli web siteleri, park etti Mac-Safer[.]com Ve kurtarma[.]comyaşadıkları sorunu nasıl çözebilecekleri konusunda talimatlar verildi.
Ne yazık ki, talimatlar sorunu çözmüyor. Bunun yerine, kullanıcılar terminal uygulamasında belirli bir tek satır komutunu kopyaladıklarında, yapıştırdığında ve yürüttüğünde, atomik macOS Infostealer’ın bir çeşidi olan Shamos’un kurulumunu tetiklerler.
Kötü niyetli talimatlar (Kaynak: Crowdstrike)
“Kötü niyetli kurulum komutu shamos mach-o [file] içine /tmp/ dizin, genişletilmiş dosya özniteliklerini kaldırır xattr Muhtemelen bekçi kontrollerini atlamak için, yürütülebilir izinler atar chmodve sonra stealer’ı yürütür. Shamos, Mach-O’nun şüpheli bir sanal alan ortamında yürütülmediğini doğrulamak için VM anti-VM komutları yürütüyor ”dedi.
“Stealer daha sonra, bilinen kripto para birimi ile ilgili cüzdan dosyalarını ve diskte hassas kimlik bilgisi tabanlı dosyaları aramak da dahil olmak üzere, ana bilgisayar keşifleri ve veri toplama görevleri için çeşitli elma belgesi komutları yürütür. kıvrılmak verileri bir zip arşivinde iletmek için out.zip.i2. “
Kötü amaçlı yazılım ayrıca sahte bir defter canlı cüzdan uygulaması ve bir botnet modülü indirir ve kalıcılığını sağlamak için bir PLIST dosyası oluşturma/kaydetme girişimleridir.
Araştırmacılar ayrıca, suçluların görünüşte popüler ITERM2 terminal emülatörünü indirmek için sağlayan bir GitHub deposu kurdukları Shamos sunmak için ek bir kötüverizasyon kampanyası tespit ettiler. Emülatörün yüklenmesi için talimatlar aynı Shamos Tek Satır Kurulum komutunu içeriyordu.
Neden Cyber Crooks Love ClickFix
CrowdStrike araştırmacıları, “Tek satırlık kurulum komutu, Ecrime aktörlerinin Mach-O yürütülebilir dosyasını, bekçi kontrollerini atlarken kurbanın makinesine doğrudan yüklemelerini sağlıyor” dedi.
ClickFix nispeten yeni bir sosyal mühendislik tekniğidir, ancak ESET’e göre kullanımı 2. çeyrek 2025’te artmıştır.
Hem siber suçlular hem de APT grupları tarafından kullanıldığında, etkinliği (ve sonraki popülaritesi) aşağıdakilerin bir kombinasyonundan kaynaklanmaktadır.
- İkna edici hata ve sahte captcha mesajları
- Ortalama bir kullanıcının anlaması için çok teknik olan basit talimatlar
- Windows, macOS ve Linux kullanıcıları üzerinde güvenilir bir şekilde çalışan hile ve kimlik avı e -postaları, sosyal medya, arama sonuçlarıyla karıştırılmış reklamlar vb.
“Microsoft Tehdit İstihbaratı, 2024’ün sonlarından bu yana popüler hacker forumlarında ClickFix Builders’ı (‘Win + R’ olarak da adlandırılır) satan birkaç tehdit aktörünü gözlemledi. Bu aktörlerin bazıları, LNK, Javascript ve SVG dosyaları gibi çeşitli dosyalara zaten ClickFix oluşturucuları bir araya getiriyor.”
“Kitler, Cloudflare dahil olmak üzere çeşitli lures ile açılış sayfalarının oluşturulmasını sunuyor. Ayrıca, kullanıcıların Windows Run iletişim kutusuna yapıştırılacağı kötü niyetli komutların oluşturulmasını da sunuyorlar.”
ClickFix taktiğinin etkinliği, güvenlik araştırmacısı Mr.D0X’i, kullanıcıların günlük Windows eylemlerini gerçekleştirerek (örneğin Windows File Explorer kullanarak) kötü amaçlı komutlar yürütmesini sağlamak için kullanılabilecek benzer bir teknik olan FileFix’i bulmaya teşvik etti.
Ve Check Point araştırmacılarına göre, tehdit aktörlerinin denemeye başlaması uzun sürmedi.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!