Sahte Mac onarımlarıyla yayılan yeni Shamos zararlısı, kullanıcı bilgilerini hedef alıyor
CrowdStrike araştırmacıları, Atomic macOS Stealer’ın (AMOS) yeni bir varyantı olan Shamos zararlısının ClickFix saldırılarıyla Mac kullanıcılarını kandırarak şifreler, kripto cüzdanları, Apple Notes ve Keychain verilerini çaldığını açıkladı. COOKIE SPIDER adlı grup tarafından geliştirilen zararlı, Haziran’dan bu yana 300’den fazla hedefte denendi.
Mac kullanıcılarını hedef alan yeni bir bilgi hırsızı zararlı yazılım ortaya çıktı. Shamos adı verilen zararlı, sahte hata düzeltme kılavuzları ve yazılım yüklemeleri üzerinden dağıtılıyor.
ClickFix saldırılarıyla yayılım
Saldırganlar, sahte GitHub depoları ve zararlı reklamlar aracılığıyla kullanıcıları Terminal’de belirli komutları çalıştırmaya yönlendiriyor. “mac-safer[.]com” ve “rescue-mac[.]com” gibi sahte sitelerde, yazıcı sorunları ya da sistem hatalarını gidermek için verilen komutlar aslında Shamos zararlısını indirip çalıştırıyor.
Komutlar, Base64 kodlu bir bağlantıyı çözüp uzak bir sunucudan Bash betiği indiriyor. Bu betik, kullanıcının parolasını ele geçiriyor, zararlı Mach-O dosyasını indirip Gatekeeper’ı aşarak çalıştırıyor.
Shamos’un yetenekleri
- Anti-VM kontrolleriyle sanal ortamda çalışıp çalışmadığını tespit etme
- AppleScript kullanarak cihaz hakkında bilgi toplama
- Tarayıcı verileri, Keychain öğeleri, Apple Notes içerikleri ve kripto cüzdan dosyalarını arayıp çalma
- Verileri “out.zip” dosyası halinde toplayarak curl üzerinden saldırgana gönderme
- Yönetici (sudo) yetkileriyle çalıştırılırsa LaunchDaemons altında plist dosyası oluşturup kalıcı hale gelme
- Ledger Live kripto cüzdan uygulamasının sahte versiyonlarını ve botnet modülleri gibi ek yükler indirme
Kullanıcılara uyarılar
Uzmanlar, çevrimiçi kaynaklardan anlaşılmayan komutların Terminal’de çalıştırılmamasını, özellikle sponsorlu arama sonuçlarından kaçınılmasını öneriyor. Apple’ın kendi destek forumları veya macOS’un yerleşik yardım özelliklerinin kullanılmasının daha güvenli olduğu belirtiliyor.
ClickFix taktikleri yaygınlaşıyor
ClickFix saldırıları yalnızca Mac kullanıcılarını değil, genel olarak birçok platformu tehdit ediyor. Bu yöntem son dönemde TikTok videolarında, sahte CAPTCHA sayfalarında ve Google Meet hata düzeltmeleri kılığına girmiş kampanyalarda da kullanıldı. Yöntem, fidye yazılımlarının ve devlet destekli grupların dağıtım yöntemleri arasında da görülüyor.
Kaynak: Beykozun Sesi
Tepkiniz Nedir?
Beğen
0
Beğenmiyorum
0
Aşk
0
Komik
0
Öfkeli
0
Üzgün
0
Vay
0
