Infostealer ile Mac Sistemlerini Hedefleyen Sahte Tarayıcı Güncellemeleri - Dünyadan Güncel Teknoloji Haberleri

Infostealer ile Mac Sistemlerini Hedefleyen Sahte Tarayıcı Güncellemeleri - Dünyadan Güncel Teknoloji Haberleri

ClearFake Kampanyası

Bu hafta Malwarebytes’ten araştırmacılar Gözlemlendiği bildirildi Atomic Stealer’ı, Chrome ve Safari tarayıcıları için sahte güncellemeler sunan, güvenliği ihlal edilmiş yüzlerce web sitesi aracılığıyla dağıtan bir tehdit aktörü Malwarebytes araştırmacıları, şifrelerin çalınmasına ve ele geçirilen bir sistemden farklı dosyaların alınmasına ve bunların uzaktaki bir komuta ve kontrol sunucusuna gönderilmesine yönelik komutları gözlemledi

Segura, “Sahte tarayıcı güncellemeleri yıllardır Windows kullanıcıları için ortak bir tema olmuştur” dedi

Mac kullanıcıları için yük, kullanıcılara bu dosyayı nasıl açacaklarına ilişkin talimatlar içeren, tarayıcı güncellemesi görünümüne bürünen bir disk görüntüsü (DMG) dosyasıdır “AMOS gibi hırsızların popülaritesi, küçük ayarlamalarla yükün farklı kurbanlara uyarlanmasını oldukça kolaylaştırıyor” dedi

Uzmanlar, daha önce özellikle Windows’u hedefleyen baskın bir sosyal mühendislik dolandırıcılığının macOS’a geçiş yaptığını ilk kez gözlemleyebileceklerini söylüyor 000 ABD Doları karşılığında abonelik esasıyla kiralayabilen suçlular, o zamandan bu yana kötü amaçlı yazılımı dağıtmak için çeşitli yöntemler kullandı



Daha önce yalnızca Windows sistemlerini hedef alan oldukça popüler bir sosyal mühendislik kampanyası genişledi ve artık tehlikeli bir bilgi hırsızı olan Atomic Stealer’ı macOS sistemlerine dağıtmak için sahte tarayıcı güncellemeleri kullanıyor 000 artış olduğunu bildirdi Bunun yerine, kötü amaçlı yazılım, SentinelOne’un AppleScript sahtekarlığı yoluyla “tek vuruşta parçala ve yakala metodolojisi” olarak tanımladığı şeye dayanıyor gibi görünüyordu En yaygın taktik, kötü amaçlı yazılımı popüler uygulamalara yönelik yükleyiciler aracılığıyla veya Microsoft Office’in ve diğer yaygın olarak kullanılan uygulamaların kırıldığı iddia edilen sürümleri aracılığıyla dağıtmak oldu Başka bir güvenlik araştırmacısı Randy McEoin, ilk görüldü Ağustos ayında ele geçirilen web sitelerini ele geçirdi ve sahte tarayıcı güncellemeleri üreten kötü amaçlı yazılımı “ClearFake” olarak adlandırdı



siber-1

“Büyük endişe verici olan yerleşik aktörlerin ortaya çıkışı Accenture, “Pozitif itibara sahip ve büyük bütçeli kişiler, macOS güvenlik işlevlerini atlatabilmelerini sağlayacak açıkları ve diğer yöntemleri arıyor” dedi

Yeni kötü amaçlı yazılım ve kampanya, bazılarının tehdit aktörlerinin macOS sistemlerine daha büyük ilgi gösterdiğini bildirdiği durumun yalnızca en son göstergesidir Dosya açılırsa hemen yönetici şifresini ister ve ardından sistemden veri çalmak için komutları çalıştırır Güvenlik araştırmacısı, bu isteğe yanıt veren Mac kullanıcılarının sistemlerine Atomic Stealer’ı indirdiklerini belirtti

AMOS olarak da adlandırılan kötü amaçlı yazılım, bu yılın başlarında özel bir Telegram kanalında ortaya çıktı Segura, Mac kullanıcıları için Google Chrome kullanıcıları için de Windows kullanıcıları için kullanılana çok benzeyen bir şablon bulunduğunu söyledi Ağustos ayında Accenture, işletim sistemini hedef alan tehdit aktörlerinin sayısında 2019’dan bu yana %1 Güvenlik sağlayıcısı, Mayıs 2023’te yazarın Telegram kanalında Atomic Stealer’ın 300 kadar abonesinin olduğunu bildirmişti ”

Segura’ya göre ClearFake’in güvenliği ihlal edilmiş bir web sitesinin sunduğu Safari şablonu, Apple’ın resmi web sitesindekiyle aynı ve birden fazla dilde mevcut Ancak ClearFake kampanyasına kadar tehdit aktörleri, vektörü macOS kötü amaçlı yazılımlarını dağıtmak için kullanmamıştı

SentinelOne’un raporunda vurguladığı Atomic Stealer’ın bir davranışı, kötü amaçlı yazılımın güvenliği ihlal edilmiş bir makinede kalıcılık kazanmaya yönelik herhangi bir girişimde bulunmamasıydı

O zamanlar McEoin, ClearFake’i, bir kullanıcı güvenliği ihlal edilmiş bir web sitesini ziyaret ettiğinde başlangıçta normal bir şekilde bir sayfa yükleyen, ancak daha sonra bunu kullanıcıdan tarayıcısını güncellemesini isteyen bir sayfayla değiştiren kötü amaçlı yazılım olarak tanımlamıştı SentinelOne, kötü amaçlı yazılımın bu versiyonunun görünüşte özellikle oyunculardan ve kripto para birimi kullanıcılarından bilgi çalmak için tasarlandığını tespit etti Kötü amaçlı yazılım analizi, Atomic Stealer’ın en az iki sürümünün olduğunu ve bunlardan birinin oyun yükleyicisinde gizlendiğini gösterdi Accenture, bunların arasında macOS için çalışan bir güvenlik açığı için 1 milyon dolara kadar teklif veren bir saldırganın da bulunduğunu tespit etti Kötü amaçlı yazılımı ayda yaklaşık 1

‘Tek Vuruşla Parçala ve Yakala’

SentinelBir, kötü amaçlı yazılımı takip eden, Atomic Stealer’ın hesap şifrelerini, tarayıcı verilerini, oturum çerezlerini ve kripto para cüzdanlarını çalabildiğini açıkladı

Malwarebytes araştırmacısı Jerome Segura bu hafta bir blogda şunları söyledi: “Bu, daha önce Windows için ayrılmış olan ana sosyal mühendislik kampanyalarından birinin yalnızca coğrafi konum açısından değil aynı zamanda işletim sistemi açısından da farklılaştığını ilk kez görüyoruz