Yeni bir kötü amaçlı kampanya, AMOS (Atomic macOS Stealer) ve Odyssey gibi bilgi hırsızlığı yapan kötü amaçlı yazılımlar sunan sahte Homebrew, LogMeIn ve TradingView platformlarına sahip macOS geliştiricilerini hedef alıyor.
Kampanyada, hedeflerin kandırılarak Terminal'de komutlar çalıştırılarak kendilerine kötü amaçlı yazılım bulaştırıldığı "ClickFix" teknikleri kullanılıyor.
Homebrew, macOS ve Linux'ta yazılım yüklemeyi kolaylaştıran popüler bir açık kaynaklı paket yönetim sistemidir. Tehdit aktörleri geçmişte kötü amaçlı reklam kampanyalarında AMOS'u dağıtmak için platformun adını kullanmıştı.
LogMeIn bir uzaktan erişim hizmetidir ve TradingView, her ikisi de Apple kullanıcıları tarafından yaygın olarak kullanılan bir finansal grafik ve piyasa analizi platformudur.
Tehdit avcılığı şirketi Hunt.io'daki araştırmacılar, bu kampanyada üç platformun kimliğine bürünen 85'ten fazla alan tanımladılar; bunlara aşağıdakiler dahildir:
BleepingComputer, bazı alan adlarını kontrol ederken bazı durumlarda sitelere gelen trafiğin Google Ads aracılığıyla sağlandığını keşfetti; bu da tehdit aktörünün bu siteleri Google Arama sonuçlarında görünmeye teşvik ettiğini gösteriyor.
Araştırmacılar, kötü amaçlı sitelerin, sahte uygulamalar için ikna edici indirme portalları içerdiğini ve kullanıcılara bunları yüklemek için Terminallerinde bir curl komutunu kopyalamaları talimatını verdiğini söylüyor.
TradingView gibi diğer durumlarda, kötü amaçlı komutlar "bağlantı güvenliği onay adımı" olarak sunulur. Ancak kullanıcı 'kopyala' düğmesini tıklarsa, görüntülenen Cloudflare doğrulama kimliği yerine panoya base64 kodlu bir kurulum komutu gönderilir.
Komutlar, bir "install.sh" dosyasını getirir ve kodunu çözer; bu dosya, bir yük ikili dosyasını indirir, karantina işaretlerini kaldırır ve Gatekeeper'ın bu dosyanın yürütülmesine izin vermesini ister.
Yük, ortamın sanal makine mi yoksa analiz sistemi mi olduğu kontrol edildikten sonra makinede yürütülen AMOS veya Odyssey'dir.
Kötü amaçlı yazılım, komutları kök olarak çalıştırmak için açıkça sudo'yu çağırır ve ilk eylemi, ana bilgisayarın ayrıntılı donanım ve bellek bilgilerini toplamaktır.
Daha sonra, OneDrive güncelleyici arka plan programlarını öldürmek gibi sistem hizmetlerini yönetir ve kötü amaçlı etkinliğini meşru süreçlerle harmanlamak için macOS XPC hizmetleriyle etkileşime girer.
Sonunda, kötü amaçlı yazılımın bilgi çalan bileşenleri etkinleştirilir, tarayıcıda depolanan hassas bilgiler ve kripto para birimi kimlik bilgileri toplanır ve komuta ve kontrole (C2) sızar.
İlk olarak Nisan 2023'te belgelenen AMOS, aylık 1.000 ABD doları tutarında abonelikle sunulan bir hizmet olarak kötü amaçlı yazılımdır (MaaS). Virüs bulaşmış ana bilgisayarlardan geniş bir yelpazedeki verileri çalabilir.
Son zamanlarda geliştiriciler, operatörlere uzaktan kalıcı erişim yetenekleri sağlamak için kötü amaçlı yazılıma bir arka kapı bileşeni ekledi.
Bu yaz CYFIRMA araştırmacıları tarafından belgelenen Odyssey Stealer, kendisi de AMOS'tan ayrılan Poseidon Stealer'dan türetilen nispeten yeni bir ailedir.
Chrome, Firefox ve Safari tarayıcılarında saklanan kimlik bilgilerini ve çerezleri, yüzden fazla kripto para birimi cüzdan uzantısını, Keychain verilerini ve kişisel dosyaları hedef alarak bunları saldırganlara ZIP formatında gönderiyor.
Kullanıcıların, ne yaptıklarını tam olarak anlamadıkları takdirde çevrimiçi olarak bulunan Terminal komutlarını yapıştırmamaları önemle tavsiye edilir.
Ortamların %46'sında şifreler kırıldı; bu oran geçen yılki %25'ten neredeyse iki katına çıktı.
Önleme, tespit ve veri hırsızlığı eğilimlerine ilişkin daha fazla bulguya kapsamlı bir bakış için Picus Blue Report 2025'i hemen edinin.
Sahte Mac düzeltmeleri, kullanıcıları yeni Shamos bilgi hırsızlığını yüklemeye yönlendiriyor
TikTok videoları bilgi hırsızlarını ClickFix saldırılarına itmeye devam ediyor
Microsoft, Xcode geliştiricilerini hedef alan yeni XCSSET macOS kötü amaçlı yazılım çeşidi konusunda uyardı
LastPass: Sahte şifre yöneticileri Mac kullanıcılarına kötü amaçlı yazılım bulaştırıyor
Yeni FileFix saldırısı, StealC kötü amaçlı yazılımını düşürmek için steganografiyi kullanıyor
Kaynak: Bleeping Computer