Siber güvenlik araştırmacıları, kullanıcıları Apple MacOS sistemlerinde Atomic MacOS Stealer (AMOS) olarak bilinen bir bilgi stealer kötü amaçlı yazılımını indirmek için ClickFix Sosyal Mühendislik taktiğini kullanan yeni bir kötü amaçlı yazılım kampanyasına karşı uyarıyorlar.
CloudSek’e göre kampanyanın, ABD merkezli telekom sağlayıcı spektrumunu taklit eden yazım alanlarından yararlandığı bulundu.
Güvenlik araştırmacısı Koushik Pal, bu hafta yayınlanan bir raporda, “MacOS kullanıcılarına sistem şifrelerini çalmak ve daha fazla sömürü için bir Amos varyantını indirmek için tasarlanmış kötü niyetli bir kabuk komut dosyası servis ediliyor.” Dedi. “Komut dosyası, kimlik bilgilerini toplamak, güvenlik mekanizmalarını atlamak ve kötü amaçlı ikili dosyaları yürütmek için yerel macOS komutlarını kullanır.”
Etkinliğin, kötü amaçlı yazılımların kaynak kodunda Rus dili yorumlarının varlığı nedeniyle Rusça konuşan siber suçluların çalışması olduğuna inanılmaktadır.
Saldırının başlangıç noktası, spektrumu taklit eden bir web sayfasıdır (“panel spektrumu[.]Net “veya” spektrum bilet[.]Net “). Söz konusu siteleri ziyaret edenlere, daha fazla ilerlemeden önce bağlantılarının” güvenliğini incelemek “için bir HCAPTCHA doğrulama kontrolünü tamamlamalarını söyleyen bir mesaj sunulmaktadır.
Ancak, kullanıcı değerlendirme için “Ben insanım” onay kutusunu tıkladığında, “Captcha doğrulaması başarısız oldu” diyen bir hata mesajı görüntülenir ve onları “alternatif doğrulama” ile devam etmek için bir düğmeyi tıklamaya çağırır.
Bunu yapmak, bir komutun kullanıcıların panosuna kopyalanmasına neden olur ve kurban işletim sistemlerine bağlı olarak bir dizi talimat gösterilir. Windows Run iletişim kutusunu açarak Windows’ta bir PowerShell komutunu çalıştırmaya yönlendirilirken, macOS’ta Terminal uygulamasını başlatarak yürütülen bir kabuk komut dosyası ile değiştirilir.
Kabuk komut dosyası, kullanıcıları sistem şifrelerini girmesini ister ve bu durumda Atomic Stealer adlı bilinen bir stealer, bir sonraki aşamalı yük indirir.
Pal, “Teslimat sitelerinde platformlar arasında eşleşmeyen talimatlar gibi kötü uygulanan mantık, aceleyle bir araya getirilmiş altyapıya işaret ediyor.” Dedi.
“Bu AMOS varyant kampanyası için söz konusu teslimat sayfaları hem programlama hem de ön uç mantığında yanlışlıklar içeriyordu. Linux kullanıcı aracıları için bir PowerShell komutu kopyalandı. Ayrıca, ‘Press ve Windows Key + R’yi tutma talimatı hem Windows hem de Mac kullanıcılarına görüntülendi.”
Açıklama, geçtiğimiz yıl çok çeşitli kötü amaçlı yazılım aileleri sunmak için ClickFix taktiğini kullanarak kampanyalardaki bir artışın ortasında geliyor.
Darktrace, “Bu hedeflenen saldırıları gerçekleştiren aktörler, başlangıç erişimi elde etmek için tipik olarak benzer teknikler, araçlar ve prosedürler (TTP’ler) kullanıyor.” Dedi. “Bunlar arasında, kötü amaçlı yükler sunmak için GitHub gibi tanıdık çevrimiçi platformlarda mızrak kimlik avı saldırıları, sürüş, uzlaşmalar veya güvenden yararlanma yer alıyor.”
Bu vektörler kullanılarak dağıtılan bağlantılar, son kullanıcıyı tipik olarak sahte bir Captcha doğrulama kontrolü gösteren kötü amaçlı bir URL’ye yönlendirir ve kullanıcıları zararsız bir şey gerçekleştirdiklerini düşünmek için aldatmak amacıyla tamamlar, gerçekte var olmayan bir sorunu düzeltmek için kötü niyetli komutlar yürütmeye yönlendirildiklerinde.
Bu etkili sosyal mühendislik yönteminin sonucu, kullanıcıların kendi sistemlerinden ödün vermesi ve güvenlik kontrollerini etkili bir şekilde atlamasıdır.
Bir Nisan 2025’te DarkTrace tarafından analiz edilen bir olayda, bilinmeyen tehdit aktörlerinin, hedef ortama daha derinlere gömülmesi, yanal hareketi yürütmek, sistemle ilgili bilgileri bir HTTP Post isteği aracılığıyla harici bir sunucuya göndermek ve sonuçta yaymak için bir saldırı vektörü olarak ClickFix’i bir saldırı vektörü olarak kullandıkları bulunmuştur.
Darktrace, “ClickFix Baiting, tehdit aktörlerinin güvenlik savunmalarını atlamak için insan hatasını kullandığı yaygın olarak kullanılan bir taktik.” Dedi. “Saldırganlar, son nokta kullanıcılarını görünüşte zararsız, günlük eylemler gerçekleştirmeye kandırarak, hassas verilere erişebilecekleri ve söndürebilecekleri sistemlere ilk erişim elde ederler.”
Diğer ClickFix saldırıları, Google Recaptcha ve Cloudflare Turnikesi gibi diğer popüler CAPTCHA hizmetlerinin rutin güvenlik kontrolleri kisvesi altında kötü amaçlı yazılım teslimatı için sahte versiyonlarını kullandı.
Bu sahte sayfalar, meşru muadillerinin “piksel-mükemmel kopyaları” dır, hatta bazen şüpheli olmayan kullanıcıları kandırmak için gerçek ama hacked web sitelerine enjekte edilir. Lumma ve Stealc gibi stealer’ların yanı sıra Netsupport Rat gibi tam teşekküllü uzaktan erişim Truva atları (sıçanlar), sahte turnike sayfaları aracılığıyla dağıtılan yüklerden bazılarıdır.
Slashnext’ten Daniel Kelley, “Modern internet kullanıcıları web sitelerinde spam çekleri, captchas ve güvenlik istemleri ile su altında kaldı ve bunları olabildiğince çabuk tıklamaya şartlandırıldı.” Dedi. “Saldırganlar, birçok kullanıcının rutin görünüyorsa sunulan adımlara uyacağını bilerek bu ‘doğrulama yorgunluğunu’ kullanıyor.”