Etkilenen Mac’lerden hassas verileri sızdırmayı amaçlayan Atomic macOS Stealer veya AMOS’un birkaç yeni çeşidi gözlemlendi.
AMOS, sıklıkla uygulamaların korsan veya “kırılmış” versiyonları gibi davranan Truva atları tarafından aktarılıyor.
Kripto para cüzdanlarından, çerezlerden, otomatik doldurma metin alanlarından ve kayıtlı şifrelerden özel bilgilerin çalınması amaçlanıyor.
“ Son aylarda AMOS Truva atları genellikle taklit ettikleri meşru uygulamalarmış gibi davranıyor; Intego, Cyber Security News ile yaptığı paylaşımda, Truva atı indirmeleriyle benzer ana sayfalara bağlantı veren kötü amaçlı Google Reklamlarından yararlanarak ayrıntılı kampanyalar yürütüyorlar.
AMOS’un Son Çeşitleri
Araştırmacılara göre AMOS’un en yeni sürümleri farklı türde uygulamalar olarak yayılıyor ve Sahte “Dosya Sıkacağı” ve “Borç ve Alacak” uygulama yükleyicileri gibi DMG disk görüntüleri aracılığıyla sunuluyor.
Takıldığında en az iki disk görüntüsü, yükleyiciye benzer bir simgeye sahip “AppleApp” adlı tek bir uygulamayı içerir.
Farklı belge formatlarından gömülü dosyaları çıkarmaya yönelik bir uygulama olan File Juicer’ın Truva atı haline getirilmiş bir sürümü, bir tür sahte kurulumla başlatılıyor.
Gerçek uygulama 19 dolar.
Genellikle yalnızca Mac App Store üzerinden erişilebilen kişisel finans uygulaması Borç ve Kredi’nin Truva atı haline getirilmiş bir sürümü, ikinci bir sahte yükleyici türü tarafından başlatılıyor.
Gerçek uygulama ücretsiz olarak indirilebilir, ancak “premium sürüm” için uygulama içi satın alma işlemi 19,99 ABD dolarıdır.
Takıldığında, farklı bir disk görüntüsü “WorldParallel” tek uygulamasını içerir.
Araştırmacılar, bu Truva Atı’nın, yaratıcısı tarafından “Bilim Kurgu dünyası ve Kart Oyunu” olarak pazarlanan, Windows’a özel NFT tabanlı bir dijital kart oyunu olan Parallel’i taklit ettiğini buldu.
Birkaç AMOS prototipi bir kez daha üretkenlik yazılımı Notion’u taklit etti.
Araştırmacılar Şubat ayında, orijinal Notion yazılım reklamlarını taklit eden kötü amaçlı Google Ads’in AMOS’un yayılım aracı olduğunu bildirdi.
AMOS ekibi muhtemelen Google Ads’ü zehirlemek de dahil olmak üzere normal davranışlarını sürdürüyor.
Bilgisayar korsanları, sponsorlu reklamları en üst sırada yayınlamak için sık sık Google’a para öder ve bunları uyumlu yazılımlara ait orijinal reklamlar olarak gizler.
Reklamlar, arama sonuçlarının hemen üstünde görünür; bu nedenle, yakından bakmadan üzerlerine tıklarsanız, yazılım yaratıcısının resmi web sitesi yerine, kötü amaçlı yazılım dağıtım web sitesine gidebilirsiniz.
Ayrıca araştırmacılar, kullanıcıları ikincil veri yükünün ilk aşamadaki (damlalık) uygulamalara dahil edildiği konusunda uyarıyor.
Gömülü veri bazı durumlarda açıktı (yani açıkça görülebiliyordu).
Diğer durumlarda, yerleşik veri, yükü antivirüs programlarından gizlemek için yetersiz bir girişimle Base64 ile kodlanmıştı.
Öneri
Gelecekte bulaşmaları önlemek için veya Mac’inizin etkilenebileceğini düşünüyorsanız saygın bir Mac geliştiricisinin antivirüs yazılımını kullanmanız önerilir.
Gerçek zamanlı korumaya sahip ödüllü antivirüs yazılımı VirusBarrier, Mac güvenlik uzmanları tarafından oluşturuldu.
Kullanıcıların, güvenilir web sitelerini belirlemek için “yalnızca Google’la” uygulamasını kırmaları önerilir.
Bu davranışlar genellikle Google’ın onları doğru şekilde yönlendireceğine ve uygun sonucu en üstte göstereceğine inanarak listedeki ilk bağlantıya körü körüne tıklamayı içerir.
“Google it”ten daha iyi bir strateji, mümkün olduğunca güvenilir web sitelerine yer işareti koymak ve daha sonra, en azından Google reklam taramasının kalitesini geliştirene kadar bu sitelere geri dönmek olacaktır.
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide