Crowdstrike’daki siber güvenlik araştırmacıları, siber suçlu grup kurabiye örümceği tarafından düzenlenen Atomic MacOS Stealer’ın (AMOS) kötü amaçlı yazılımının gelişmiş bir çeşidi olan Shamos’u dağıtan sofistike bir kötü amaçlı yazılım kampanyasını belirledi ve engellediler.
Hizmet Olarak Kötü Yazılım Modeli altında faaliyet gösteren Cookie Spider, kurbanları oturum açma kimlik bilgileri, kripto para cüzdanları ve diğer kişisel bilgiler de dahil olmak üzere hassas verileri hasat etmeyi hedefleyen bağlı kuruluşlara bu bilgi çalmayı kiralar.
Kampanya, 300’den fazla müşteri ortamından ödün vermeye çalıştı, ancak Crowdstrike Falcon platformu tarafından başarıyla engellendi ve Ecrime ekosistemindeki macOS’a özgü kötü amaçlı yazılım tehdidini vurguladı.
Bu operasyon, hileli macOS yardım web sitelerinin arama motoru sonuçlarında tanıtıldığı kötü niyetli taktiklere dayanıyordu, bu da çözücü önbelleğini yıkama gibi yaygın sorunlar için çözüm arayan kullanıcıları cezbediyor.
Kampanya keşfi
Amerika Birleşik Devletleri, Birleşik Krallık, Japonya, Çin, Kolombiya, Kanada, Meksika ve İtalya gibi ülkelerden kurbanlar, Rusya Ecrime forumlarındaki yerli kullanıcılara karşı yasaklarla uyumlu olarak Rusya ve Bağımsız Devletler Topluluğu Ulusları Topluluğu’nun dikkate değer bir dışlanması ile hedeflendi.
Maltizasyon, kullanıcıları Mac-Safer gibi meşru macOS destek sayfalarını taklit eden sahte sitelere yönlendirdi[.]com ve kurtarma-mac[.]Terminalde kötü amaçlı tek satırlık bir kurulum komutu yürütmek için yanıltıcı talimatlar sağlayan com.
Genellikle baz64 kodlu olan bu komut, kullanıcının şifresini yakalayan ve Shamos Mach-O yürütülebilir dosyasını getiren bir Bash komut dosyası indirdi.
Bu teknikten yararlanarak, saldırganlar MacOS bekçi güvenlik kontrollerini atladılar ve standart korumaları tetiklemeden kötü amaçlı yazılımın doğrudan kurulmasına izin verdiler.
Mayıs 2024 ve Ocak 2025 arasında homebrew için kötü niyetli olma ve video editörleri, CAD yazılımı ve AI uygulamaları gibi ücretsiz macOS araçları olarak poz veren fırsatçı GitHub depoları da dahil olmak üzere, guguklu stealer ve shamos içeren önceki kampanyalarda da benzer taktikler gözlenmiştir.
Kalıcılık mekanizmaları
Yürütme üzerine, Shamos kötü amaçlı yazılım / tmp / dizinine indirilir, burada XATTR’yi algılamak için genişletilmiş dosya özniteliklerini kaldırır, CHMOD aracılığıyla yürütülebilir izinler atar ve sanalbox ortamlarından kaçınmak için anti-VM kontrolleri çalıştırır.
Daha sonra Kripto para birimi cüzdan dosyaları, anahtarlık verileri, Apple notları ve tarayıcı kimlik bilgilerini tarama, keşif için elma metninden yararlanır.
Toplanan veriler, Out.zip adlı bir ZIP dosyasında arşivlenir ve saldırgan kontrolündeki sunuculara curl komutları aracılığıyla eksfiltrasyona tabi tutulur.
Sahtekâr bir defter canlı cüzdan uygulaması ve bir botnet modülü de dahil olmak üzere diğer yükler, kullanıcının ana dizininde gizli dosyalar olarak dağıtılır.
Sudo ayrıcalıkları mevcutsa, Shamos, LaunchDaemons dizininde uzun vadeli erişim sağlayarak bir PLIST dosya (com.finder.helper.pist) oluşturarak kalıcılık oluşturur.
CrowdStrike’ın gözlemleri, BOTNET aktivitesini gösteren çoklu kıvrımlı çağrılara dikkat çekti ve kötü amaçlı yazılımların uzun süreli uzlaşma için modüler tasarımının altını çizdi.
Açık kaynaklı raporlar, popüler bir macOS terminal emülatörü ITERM2’yi taklit eden sahte bir Github deposu aracılığıyla ilgili bir kampanyayı detaylandırarak bu bulguları destekledi.
Bu depo, kullanıcılara benzer bir tek satır komutu çalıştırmalarını, Macostutorial gibi alanlardan shamos getirmelerini söyledi.[.]Com, aktörlerin sosyal mühendisliği teknik kaçırma ile harmanlama tercihini gösteriyor.
Crowdstrike, Ecrime aktörlerinin, bekleticiyi atlamada ve kurban trafiğini yönlendirmedeki kanıtlanmış etkinlikleri göz önüne alındığında, macOS stealer dağıtım için kötüverizasyon ve tek satırlık kurulum komutlarını kullanmaya devam edeceğine dair yüksek bir güvenle değerlendiriyor.
Falcon platformunun makine öğrenimi ve saldırı göstergeleri (IOAS) katmanlı algılama sağlar, indirme, yürütme ve pessfiltrasyon aşamalarında shamoları önler.
Koruma için kullanıcılar, Falcon Insight XDR politikalarında şüpheli süreci önleme ve istihbarat kaynaklı tehdit önleme etkinleştirmelidir.
Tehdit avcıları, DSCL, Curl, Xattr ve CHMOD adlı BASH komut dosyaları veya / TMP / Binaries’den Applescript yürütmeleri gibi riskli davranışları tespit etmek için Falcon yeni nesil SIEM sorgularını kullanabilirler.
Uzlaşma Göstergesi (IOCS)
| IOC Türü | Tanım | Değer |
|---|---|---|
| Web siteleri kötü niyetli | Shamos’u indirmek için talimatlar içeren siteler | Mac-Safer[.]com kurtarma[.]com HTTPS[:]// githubub[.]com/jerrymoore/iterm2 |
| Bash Script SHA256 Hashes | Kötü niyetli bash betiğinin karmaları | 231C4BF14C4145BE77A4FEF36C20891D818983C520BA067DA62D3BBBFFF547F EB7EDE285BAA68761AD13F22F8555AAB18DEBBADF2C116251CB269E913EF68 |
| Shamos mach-o SHA256 Hashes | Shamos yürütülebilirlerinin karmaları | 4549E2599DE3011973FDE61052A55E5CDB770348876ABC82DE14C2D99575790F B01C13969075974F555C8C88023F9ABF891F72865CE07EFCEE6C2D906D410D5 A4E47FD76DC8ED8E147EA81765EDC32ED1E 11CF27D13826E3770C7CF953322 95b97a5da68fcb73c98cd9311c56747545db52602ddf6fae7b152d3d802877 |
| Bash Script ana bilgisayar urls | Kötü niyetli bash betiğini barındıran url’ler | HTTPS[:]// iCloudSersvers[.]com/gm/kurulum[.]sh HTTPS[:]// macostutorial[.]com/iterm2/yükleme[.]sh |
| Shamos Host urls | Shamos yüklerini barındıran urls | HTTPS[:]// iCloudSersvers[.]com/gm/güncelleme HTTPS[:]// macostutorial[.]com/iterm2/güncelleme |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!