Siber güvenlik araştırmacıları, Kolombiyalı yargı sistemini taklit eden kimlik avı saldırılarının bir parçası olarak ölçeklenebilir vektör grafikleri (SVG) dosyalarından yararlanan yeni bir kötü amaçlı yazılım kampanyasını işaretlediler.
Virustotal’a göre SVG dosyaları, e-posta yoluyla dağıtılır ve daha sonra Colombia’nın onbeşisi olan Fiscalí General de la Nación için bir portal olarak maskelenen bir Base64 kodlu HTML kimlik avı sayfasını çözen ve enjekte eden gömülü bir JavaScript yükü yürütmek üzere tasarlanmıştır.
Sayfa daha sonra sahte bir ilerleme çubuğu ile resmi bir hükümet belge indirme sürecini simüle ederken, arka planda bir fermuar arşivinin indirilmesini gizlice tetikler. ZIP dosyasının kesin doğası açıklanmadı.
Google’a ait kötü amaçlı yazılım tarama hizmeti, statik tespit yöntemlerinden kaçmak için gizleme, polimorfizm ve büyük miktarda önemsiz kod gibi tekniklerin kullanılması nedeniyle, hepsi antivirüs motorları tarafından tespit edilmemiş 44 benzersiz SVG dosyası bulduğunu söyledi.
Toplamda, vahşi doğada 523 kadar SVG dosyası tespit edilmiştir, en erken örnek 14 Ağustos 2025’e kadar uzanmıştır.
Virustotal, “Daha derine baktığımızda, en eski örneklerin 25 MB civarında daha büyük olduğunu ve boyutun zamanla azaldığını gördük, saldırganların yüklerini geliştirdiğini gösteriyor.” Dedi.
Açıklama, meşru yazılımın çatlak sürümleri ve ClickFix tarzı taktikler, kullanıcıları atomik macOS stealer (AMOS) adı verilen bir bilgi stealer ile enfekte etmeye ve işletmeleri kimlik bilgisi doldurma, finansal hırsızlık ve diğer takip saldırılarına maruz bırakmaya teşvik etmek için kullanılıyor.
Trend Micro, “Amos, kimlik bilgilerini, tarayıcı verilerini, kripto para cüzdanlarını, telgraf sohbetlerini, VPN profillerini, anahtarlık öğelerini, Apple notlarını ve ortak klasörlerden dosyaları çalabilen geniş veri hırsızlığı için tasarlanmıştır.” Dedi. “Amos, macOS’un artık çevresel bir hedef olmadığını gösteriyor. MacOS cihazları kurumsal ortamlarda zemin kazandıkça, saldırganlar için daha cazip ve kazançlı bir odak noktası haline geldi.”
Saldırı zinciri esasen Haxmac gibi sitelerde çatlak yazılım arayan kullanıcıları hedeflemeyi içerir[.]CC, bunları terminal uygulamasında kötü niyetli komutlar çalıştırmak için kandırmak için tasarlanmış kurulum talimatlarını sağlayan sahte indirme bağlantılarına yönlendirerek, böylece AMOS’un dağıtımını tetikler.
Apple’ın, uygulama paketlerinin tanımlanmış bir geliştirici tarafından imzalanmasını ve Apple tarafından noter tasdik edilmesini gerektiren MacOS’un bekçi korumaları nedeniyle uygun noterizasyondan yoksun .dmg dosyalarının kurulumunu önlediğini belirtmek gerekir.
Şirket, “MacOS Sequoia’nın piyasaya sürülmesiyle, Amos kampanyalarında kullanılanlar gibi kötü amaçlı veya imzasız .dmg dosyaları yükleme girişimleri varsayılan olarak engellendi.” “Bu, riski tamamen ortadan kaldırmasa da, özellikle yerleşik korumaları atlayabilen kullanıcılar için, başarılı enfeksiyonlar ve saldırganların teslimat yöntemlerini uyarlamaya zorlayan engelleri artırıyor.”
Bu nedenle, tehdit aktörleri ClickFix’te giderek daha fazla bankacılık yapıyor, çünkü Stealer’ın yazılım indirme sayfasında belirtilen bir curl komutu aracılığıyla Terminal kullanarak makineye yüklenmesine izin veriyor.
Trend Micro, “MacOS Sequoia’nın gelişmiş bekçi koruyucusu geleneksel .DMG tabanlı enfeksiyonları başarıyla engellerken, tehdit aktörleri hızla güvenlik kontrollerini atlamada daha etkili olan terminal tabanlı kurulum yöntemlerine döndü.” Dedi. “Bu değişim, yalnızca yerleşik işletim sistemi korumalarına dayanmayan derinlemesine savunma stratejilerinin önemini vurgulamaktadır.”
Geliştirme ayrıca, Stealc Stealer ve Crypto hırsızlığı kötü amaçlı yazılımlarla hileler arayışını hedefleyen ve tehdit aktörlerini 135.000 dolardan fazla netleştiren oyuncuları hedefleyen bir “genişleyen siber kampanyanın” keşfini izliyor.
Cyberark’a göre, etkinlik Stealc’in yükleyici özelliklerinden yararlanmak için ek yükler indirmek için, bu durumda, enfekte makinelerde kullanıcılardan dijital varlıkları sifonlayabilen bir kripto para birimi stealer.