Daha önce yalnızca Windows sistemlerini hedef alan oldukça popüler bir sosyal mühendislik kampanyası genişledi ve artık tehlikeli bir bilgi hırsızı olan Atomic Stealer’ı macOS sistemlerine dağıtmak için sahte tarayıcı güncellemeleri kullanıyor.
Uzmanlar, daha önce özellikle Windows’u hedefleyen baskın bir sosyal mühendislik dolandırıcılığının macOS’a geçiş yaptığını ilk kez gözlemleyebileceklerini söylüyor.
AMOS olarak da adlandırılan kötü amaçlı yazılım, bu yılın başlarında özel bir Telegram kanalında ortaya çıktı. Kötü amaçlı yazılımı ayda yaklaşık 1.000 ABD Doları karşılığında abonelik esasıyla kiralayabilen suçlular, o zamandan bu yana kötü amaçlı yazılımı dağıtmak için çeşitli yöntemler kullandı. En yaygın taktik, kötü amaçlı yazılımı popüler uygulamalara yönelik yükleyiciler aracılığıyla veya Microsoft Office’in ve diğer yaygın olarak kullanılan uygulamaların kırıldığı iddia edilen sürümleri aracılığıyla dağıtmak oldu.
ClearFake Kampanyası
Bu hafta Malwarebytes’ten araştırmacılar Gözlemlendiği bildirildi Atomic Stealer’ı, Chrome ve Safari tarayıcıları için sahte güncellemeler sunan, güvenliği ihlal edilmiş yüzlerce web sitesi aracılığıyla dağıtan bir tehdit aktörü. Başka bir güvenlik araştırmacısı Randy McEoin, ilk görüldü Ağustos ayında ele geçirilen web sitelerini ele geçirdi ve sahte tarayıcı güncellemeleri üreten kötü amaçlı yazılımı “ClearFake” olarak adlandırdı.
O zamanlar McEoin, ClearFake’i, bir kullanıcı güvenliği ihlal edilmiş bir web sitesini ziyaret ettiğinde başlangıçta normal bir şekilde bir sayfa yükleyen, ancak daha sonra bunu kullanıcıdan tarayıcısını güncellemesini isteyen bir sayfayla değiştiren kötü amaçlı yazılım olarak tanımlamıştı. Güvenlik araştırmacısı, bu isteğe yanıt veren Mac kullanıcılarının sistemlerine Atomic Stealer’ı indirdiklerini belirtti.
Malwarebytes araştırmacısı Jerome Segura bu hafta bir blogda şunları söyledi: “Bu, daha önce Windows için ayrılmış olan ana sosyal mühendislik kampanyalarından birinin yalnızca coğrafi konum açısından değil aynı zamanda işletim sistemi açısından da farklılaştığını ilk kez görüyoruz.”
Segura’ya göre ClearFake’in güvenliği ihlal edilmiş bir web sitesinin sunduğu Safari şablonu, Apple’ın resmi web sitesindekiyle aynı ve birden fazla dilde mevcut. Segura, Mac kullanıcıları için Google Chrome kullanıcıları için de Windows kullanıcıları için kullanılana çok benzeyen bir şablon bulunduğunu söyledi.
Mac kullanıcıları için yük, kullanıcılara bu dosyayı nasıl açacaklarına ilişkin talimatlar içeren, tarayıcı güncellemesi görünümüne bürünen bir disk görüntüsü (DMG) dosyasıdır. Dosya açılırsa hemen yönetici şifresini ister ve ardından sistemden veri çalmak için komutları çalıştırır. Malwarebytes araştırmacıları, şifrelerin çalınmasına ve ele geçirilen bir sistemden farklı dosyaların alınmasına ve bunların uzaktaki bir komuta ve kontrol sunucusuna gönderilmesine yönelik komutları gözlemledi.
‘Tek Vuruşla Parçala ve Yakala’
SentinelBir, kötü amaçlı yazılımı takip eden, Atomic Stealer’ın hesap şifrelerini, tarayıcı verilerini, oturum çerezlerini ve kripto para cüzdanlarını çalabildiğini açıkladı. Güvenlik sağlayıcısı, Mayıs 2023’te yazarın Telegram kanalında Atomic Stealer’ın 300 kadar abonesinin olduğunu bildirmişti. Kötü amaçlı yazılım analizi, Atomic Stealer’ın en az iki sürümünün olduğunu ve bunlardan birinin oyun yükleyicisinde gizlendiğini gösterdi. SentinelOne, kötü amaçlı yazılımın bu versiyonunun görünüşte özellikle oyunculardan ve kripto para birimi kullanıcılarından bilgi çalmak için tasarlandığını tespit etti.
SentinelOne’un raporunda vurguladığı Atomic Stealer’ın bir davranışı, kötü amaçlı yazılımın güvenliği ihlal edilmiş bir makinede kalıcılık kazanmaya yönelik herhangi bir girişimde bulunmamasıydı. Bunun yerine, kötü amaçlı yazılım, SentinelOne’un AppleScript sahtekarlığı yoluyla “tek vuruşta parçala ve yakala metodolojisi” olarak tanımladığı şeye dayanıyor gibi görünüyordu.
Segura, “Sahte tarayıcı güncellemeleri yıllardır Windows kullanıcıları için ortak bir tema olmuştur” dedi. Ancak ClearFake kampanyasına kadar tehdit aktörleri, vektörü macOS kötü amaçlı yazılımlarını dağıtmak için kullanmamıştı. “AMOS gibi hırsızların popülaritesi, küçük ayarlamalarla yükün farklı kurbanlara uyarlanmasını oldukça kolaylaştırıyor” dedi.
Yeni kötü amaçlı yazılım ve kampanya, bazılarının tehdit aktörlerinin macOS sistemlerine daha büyük ilgi gösterdiğini bildirdiği durumun yalnızca en son göstergesidir. Ağustos ayında Accenture, işletim sistemini hedef alan tehdit aktörlerinin sayısında 2019’dan bu yana %1.000 artış olduğunu bildirdi. Accenture, bunların arasında macOS için çalışan bir güvenlik açığı için 1 milyon dolara kadar teklif veren bir saldırganın da bulunduğunu tespit etti. “Büyük endişe verici olan yerleşik aktörlerin ortaya çıkışı Accenture, “Pozitif itibara sahip ve büyük bütçeli kişiler, macOS güvenlik işlevlerini atlatabilmelerini sağlayacak açıkları ve diğer yöntemleri arıyor” dedi.