Kötü amaçlı reklamlar ve sahte web siteleri, Atomic Stealer dahil olmak üzere Apple macOS kullanıcılarını hedef alan iki farklı hırsız amaçlı kötü amaçlı yazılım yaymak için bir kanal görevi görüyor.
Jamf Threat Labs, macOS kullanıcılarını hedef alan devam eden bilgi hırsızlığı saldırılarının, kurbanların Mac’lerini tehlikeye atmak için farklı yöntemler benimsemiş olabileceğini ancak nihai amacın hassas verileri çalmak olduğunu belirtiyor. söz konusu Cuma günü yayınlanan bir raporda.
Bu tür bir saldırı zinciri, kullanıcıları benzer sitelere yönlendiren sahte reklamlar sunmak için Google gibi arama motorlarında Arc Tarayıcıyı arayan kullanıcıları hedef alır (“airci[.]net”) kötü amaçlı yazılıma hizmet eder.
Güvenlik araştırmacıları Jaron Bradley, Ferdous Saljooki ve Maggie Zirnhelt, “İlginç bir şekilde, kötü amaçlı web sitesine hata döndürdüğü için doğrudan erişilemiyor” dedi. “Muhtemelen tespit edilmekten kaçınmak için yalnızca oluşturulmuş bir sponsorlu bağlantı aracılığıyla erişilebilir.”
Sahte web sitesinden (“ArcSetup.dmg”) indirilen disk görüntü dosyası, kullanıcılardan sahte bir istem yoluyla sistem şifrelerini girmelerini talep ettiği ve sonuçta bilgi hırsızlığını kolaylaştırdığı bilinen Atomic Stealer’ı sunuyor.
Jamf, Meethub adında sahte bir web sitesi de keşfettiğini söyledi[.]Ücretsiz bir grup toplantısı planlama yazılımı sunduğunu iddia eden gg, aslında kullanıcıların anahtarlık verilerini, web tarayıcılarında saklanan kimlik bilgilerini ve kripto para birimi cüzdanlarındaki bilgileri toplayabilen başka bir hırsız kötü amaçlı yazılım yüklüyor.
Realst olarak bilinen Rust tabanlı bir hırsız ailesiyle örtüştüğü söylenen kötü amaçlı yazılım, Atomic hırsızına benzer şekilde, kötü niyetli eylemlerini gerçekleştirmek için bir AppleScript çağrısı kullanarak kullanıcıdan macOS giriş şifresini istiyor.
Bu kötü amaçlı yazılımdan yararlanan saldırıların kurbanlara şu bahaneyle yaklaştığı söyleniyor: iş fırsatlarını tartışmak Ve bir podcast için onlarla röportaj yapmakardından Meethub’dan bir uygulama indirmelerini istiyor[.]gg, toplantıya davet edilen bir video konferansa katılmaya davet eder.
Araştırmacılar, “Bu saldırılar genellikle kripto endüstrisindekilere odaklanıyor, çünkü bu tür çabalar saldırganlara büyük kazançlar sağlayabilir” dedi. “Sektördekiler, varlık sahibi olduklarına veya onları bu sektöre sokan bir şirkete kolayca bağlanabileceklerine dair kamuya açık bilgileri bulmanın genellikle kolay olduğunun son derece farkında olmalıdır.”
Bu gelişme, MacPaw’un siber güvenlik bölümü Moonlock Lab’ın, kötü amaçlı DMG dosyalarının (“App_v1.0.4.dmg”) tehdit aktörleri tarafından, çeşitli uygulamalardan kimlik bilgilerini ve verileri çıkarmak için tasarlanmış hırsız bir kötü amaçlı yazılım dağıtmak için kullanıldığını açıklamasının ardından geldi.
Bu, Rusya’daki bir IP adresinden alınan, gizlenmiş bir AppleScript ve bash yükü aracılığıyla gerçekleştirilir; bunlardan ilki, kullanıcıları sistem şifrelerini sağlamaları için kandırmak amacıyla (yukarıda belirtildiği gibi) aldatıcı bir istem başlatmak için kullanılır.
Güvenlik araştırmacısı Mykhailo Hrebeniuk, “Zararsız bir DMG dosyası olarak gizlenen bu dosya, kimlik avı görüntüsü yoluyla kullanıcıyı kuruluma kandırıyor ve kullanıcıyı macOS’un Gatekeeper güvenlik özelliğini atlamaya ikna ediyor” dedi.
Bu gelişme, macOS ortamlarının hırsız saldırıları nedeniyle giderek daha fazla tehdit altında olduğunun bir göstergesi; hatta bazı türler bu saldırılarla övünüyor. gelişmiş anti-sanallaştırma teknikleri Tespitten kaçınmak için kendi kendini imha eden bir öldürme anahtarını etkinleştirerek.
Son haftalarda kötü amaçlı reklam kampanyalarının da interneti zorladığı gözlemlendi. SahteBat yükleyici (diğer adıyla EugenLoader) ve Rhadamanthys gibi diğer bilgi hırsızları, Go tabanlı bir yükleyici aracılığıyla, örneğin popüler yazılımlar için tuzak siteler aracılığıyla fikir Ve Macun.