Siber güvenlik araştırmacıları, Web enjeksiyonlarından yararlanan yeni bir kampanyaya, yeni bir Apple macOS kötü amaçlı yazılımları sunmak için uyarıyor Serimler.
Etkinlik, TA2727 olarak bilinen daha önce belgelenmemiş bir tehdit aktörüne ve Windows (Lumma Stealer veya Deerstealer) ve Android (Marcher) gibi diğer platformlar için bilgi stealers ile ilişkilendirildi.
Hacker Tehdit Araştırma Ekibi, Hacker News ile paylaşılan bir raporda, TA2727 “çeşitli kötü amaçlı yazılım yüklerini dağıtmak için sahte güncelleme temalı lures kullanan bir tehdit aktörüdür” dedi.
Diğer tehdit aktörlerinin kötü amaçlı yazılım sunması için trafik dağıtımını kolaylaştıran kötü amaçlı bir trafik dağıtım sistemi (TDS) operatörü olarak değerlendirilen TA2726 ile birlikte yeni tanımlanan tehdit faaliyet kümelerinden biridir. Finansal olarak motive olmuş tehdit oyuncunun en azından Eylül 2022’den beri aktif olduğuna inanılıyor.
Kurumsal güvenlik firmasına göre TA2726, TA2727 için bir TDS görevi görür ve ta569 adlı başka bir tehdit oyuncusu olarak hareket eder; Meşru ama işbirlikli siteler.
Şirket, “TA2726 finansal olarak motive ediliyor ve TA569 ve TA2727 gibi finansal olarak motive olmuş diğer aktörlerle çalışıyor.” Diyerek şöyle devam etti: “Yani, bu aktör büyük olasılıkla diğer tehdit aktörleri tarafından işletilen enjeksiyonlara yol açan web sunucusundan veya web sitesi uzlaşmalarından sorumludur.”
Hem TA569 hem de TA2727, kötü amaçlı JavaScript web sitesi ile tehlikeye atılan web siteleri aracılığıyla dağıtıldıkları için bazı benzerlikleri paylaşıyor. TA2727’nin farklı olduğu durumlarda, alıcıların coğrafyasına veya cihazına göre farklı yüklere hizmet eden saldırı zincirlerinin kullanılmasıdır.
Bir kullanıcı Windows bilgisayarında Fransa veya İngiltere’de enfekte bir web sitesini ziyaret ederse, Lumma Stealer’ı yükleyen Hijack Loader’ı (AKA Doiloader) başlatan bir MSI yükleyici dosyasını indirmeleri istenir.
Öte yandan, bir Android cihazdan ziyaret edildiğinde aynı sahte güncelleme yönlendirmesi, on yılı aşkın bir süredir vahşi doğada tespit edilen bir bankacılık truva adamının konuşlandırılmasına yol açar.
Hepsi bu değil. Ocak 2025 itibariyle, kampanya, Kuzey Amerika dışında ikamet eden MacOS kullanıcılarına, FrigidStealer adlı yeni bir bilgi stealer’ı indiren sahte bir güncelleme sayfasına güncellendi.
FrigidStealer yükleyicisi, diğer macOS kötü amaçlı yazılımlar gibi, kullanıcıların bekleme koruyucusu korumalarını atlamak için imzasız uygulamayı açıkça başlatmasını gerektirir ve ardından, kötü amaçlı yazılımları yüklemek için gömülü bir Mach-O yürütülebilir dosyası çalıştırılır.
“Yürütülebilir ürün Go’da yazılmış ve geçici imzalanmıştır,” dedi Proofpoint. “Yürütilebilir, kullanıcının tarayıcısında içerik oluşturan Wailsio Projesi ile inşa edildi. Bu, kurbanın sosyal mühendisliğine katkıda bulunuyor ve Chrome veya Safari kurulumcusunun meşru olduğunu ima ediyor.”
Frigidstealer, MacOS sistemlerine yönelik çeşitli stealer ailelerinden farklı değildir. Kullanıcının sistem şifrelerini girmesini istemek için AppleScript’ten yararlanır, böylece web tarayıcılarından, Apple notlarından ve kripto para birimi ile ilgili uygulamalardan dosyaları ve her türlü hassas bilgileri hasat etmek için yüksek ayrıcalıklar sağlar.
Şirket, “Aktörler, hem işletme hem de tüketici kullanıcılarını hedefleyen kötü amaçlı yazılım sunmak için web uzatmaları kullanıyor.” Dedi. “Bu tür Web enjeksiyonlarının, kurumsal ortamlarda hala Windows’tan daha az yaygın olan MAC kullanıcıları da dahil olmak üzere alıcıya özelleştirilmiş kötü amaçlı yazılımlar sunması makul.”
Geliştirme, Denwp Research’in Tonmoy Jitu’nun, ad manipülasyonunu, dinamik bağlantı arka plan programı (dyld) enjeksiyonunu ve komut ve kontrol (C2) tabanlı komut yürütmesini kaldıran Tiny Fud adlı başka bir tamamen tespit edilemeyen macOS backdoor’un ayrıntılarını açıkladığı zaman geliyor.
Ayrıca, her ikisi de hassas bilgileri toplamak, tespitten kaçınmak ve tehlikeye atılan sistemlerde kalıcılığı korumak için tasarlanmış Astral Stealer ve Flesh Stealer gibi yeni bilgi çalma kötü amaçlı yazılımlarının ortaya çıkmasını izler.
Flashpoint yakın tarihli bir raporda, “Et stealer sanal makine (VM) ortamlarını tespit etmede özellikle etkilidir.” Dedi. Diyerek şöyle devam etti: “Güvenlik araştırma uygulamalarının anlayışını sergileyerek, herhangi bir potansiyel adli tıp analizini önlemek için VM’lerin uygulanmasını önleyecektir.”