Doğrulanmış X reklamı Mac kötü amaçlı yazılımlarını yayar, ConsentFix ise Microsoft hesaplarını çalar Yazılım

Doğrulanmış X reklamı Mac kötü amaçlı yazılımlarını yayar, ConsentFix ise Microsoft hesaplarını çalar

Siber suçlular, insanları kendi cihazlarının ve hesaplarının güvenliğini ele geçirmeleri için kandırmanın yeni yollarını buluyor. Bir kampanya, Mac ku...

Siber suçlular, insanları kendi cihazlarının ve hesaplarının güvenliğini ele geçirmeleri için kandırmanın yeni yollarını buluyor. Bir kampanya, Mac kullanıcılarını hedeflemek için X üzerinde sponsorlu bir reklam kullanırken, ConsentFix adlı başka bir teknik, kötü amaçlı yazılım yüklemeden Microsoft 365 hesaplarını çaldı.

Mac ClickFix saldırısında kullanılan doğrulanmış X hesabı

Araştırmacılar, X'te sponsorlu reklam olarak çalışan ClickFix tarzı bir saldırı keşfettiler. Reklam, doğrulanmış bir hesaptan yayınlandı ve dolandırıcılığa ekstra bir güvenilirlik katmanı ekledi.

ClickFix kampanyaları, geçmişte sahte "insan doğrulama" ekranları ve şimdi de MacBook'unuzun çentiğini Apple'ın Dynamic Island'ının resmi olmayan ancak işlevsel bir sürümüne dönüştüren meşru bir macOS yardımcı programı olan DynamicLake için sahte bir indirme gibi ikna edici cazibeler kullanıyor. Bu tür saldırı, kullanıcının panodan bir komut yapıştırmasını gerektirir ve bu da büyük ölçüde kullanıcı etkileşimine bağlı olmasını sağlar.

Resim Jamf'in izniyle

Gelecekte Ne Bekleniyor?

Gerçekte, bağlantıya tıklayan kişiler dinamikmacisland[.]com benzeri alan adına yönlendiriliyordu; burada kendilerine Terminal'i açmaları ve kötü amaçlı yazılımları sessizce yükleyen kurulum komutlarını yapıştırmaları talimatı veriliyordu.

Kampanya üç endişe verici eğilimi birleştiriyor: Terminal komutlarını kullanan ClickFix tarzı sosyal mühendislik, güvenilir Mac uygulamalarını taklit eden benzer alanlar ve saldırıları geniş bir kitleye ölçeklendirmek için kullanılan ücretli reklam altyapısı.

Nasıl Önlem Alınmalı?

Kötü amaçlı yazılımın Atomic Stealer bilgi hırsızlığının birkaç çeşidini sunduğu bildiriliyor.

Bu model, Google Ads'ün, kullanıcılar güvenilir geliştirici araçları aradığında kötü amaçlı yazılım dağıtan kötü amaçlı sponsorlu listelemeler de dahil olmak üzere sahte yazılım yükleyicilerini tanıttığı önceki durumları yansıtıyor. Çıkarılacak ders açıktır: Ücretli yerleştirme ve doğrulama rozetleri, özellikle saldırganların otomatik taramadan kaçınmak için kasıtlı olarak kampanyalar tasarladığı durumlarda güvenliğin garantisi değildir.

Sonuç ve Değerlendirme

Kampanya, kötü amaçlı reklamın doğrulanmış bir hesap altında görünmesiyle X'in reklam platformunu kötüye kullandı. Araştırmacılar reklamı X'e bildirdi ve hesap sahibiyle iletişime geçti. Reklamın daha sonra kaldırıldığı görülüyor.

ConsentFix, kötü amaçlı yazılım yüklemek yerine hesapları çalar

Teknik Analiz

Windows kullanıcıları ayrıca ConsentFix adı verilen yeni nesil ClickFix saldırıları konusunda da uyarılıyor.

ConsentFix farklıdır çünkü ClickFix sizi yükleyiciye dönüştürürken, ConsentFix sizi kimlik sağlayıcıya dönüştürür. Kötü amaçlı yazılım çalıştırmanız için sizi kandırmak yerine, kötü amaçlı yazılım çalıştırmanızı veya parolanızı yazmanızı istemeden, bulut oturum açma belirteçlerinizi tarayıcı aracılığıyla teslim etmenizi sağlamak için sosyal mühendisliği kullanır.

Sistem Güvenliği

"Bu, bir bağlantıyı tarayıcınıza sürüklemek gibi sıradan bir şeyle başlayabilir. Üç saniye sonra, bir tehdit aktörü Microsoft 365 hesabınızı ele geçirmek için gereken belirteçleri ele geçirir ve siz geleneksel güvenlik farkındalığı eğitiminin işaretleyeceği hiçbir şey yapmadınız."

Örneğin, genellikle Dropbox gibi güvenilir platformlarda barındırılan bir bağlantı içeren bir kimlik avı e-postası gelebilir. Bazen bir parolayla korunur, bu da güvenlik araçlarının incelemesini zorlaştırır.

Hedef bağlantıya tıklarsa, standart bir Microsoft oturum açma sayfasına benzeyen bir sayfa görecek ve bir localhost geri arama bağlantısını tarayıcıya sürükleyerek işlemi tamamlamaları istenecektir.

Detaylar ve Etkileri

ConsentFix tuzağı nasıl görünüyor?

İşte o zaman tuzak kapanır. Kurban, farkında olmadan oturum belirteçlerini saldırgana teslim ederek, parolaya ihtiyaç duymadan veya çok faktörlü kimlik doğrulamayı (MFA) tamamlamadan e-postaya ve diğer Microsoft 365 hizmetlerine erişmesini sağlar.

Yöntemin bir Rus siber suç forumunda paylaşıldığı ve daha az deneyimli siber suçluların Microsoft 365 hesaplarını çalmasını yeterince kolaylaştırdığı bildirildi.

Önemli Gelişmeler

Nasıl güvende kalınır?

En iyi koruma, bu saldırıların var olduğunu bilmek ve neye benzediklerini tanımaktır. O halde blogumuzu okumaya devam edin. Ancak yapabileceğiniz daha fazlası var:

Uzmanların Görüşleri

Beklenmedik bir şekilde (e-posta, kısa mesaj, sosyal medya, hatta doğrulanmış hesaplar veya sponsorlu arama sonuçları aracılığıyla) gelen bağlantılara güvenmeyin.

Alışılmadık görünen veya tam olarak anlamadığınız talimatları uygulamadan önce iyice düşünün.

Kimlik bilgilerini doldururken her zaman tarayıcı çubuğundaki adresi kontrol edin. Beklediğin kişi bu muydu? Değilse, durun.

Web korumasına sahip güncel, gerçek zamanlı bir kötü amaçlı yazılımdan koruma çözümü kullanın.

Profesyonel ipucu: Ücretsiz Malwarebytes Tarayıcı Koruması tarayıcı uzantısının sizi kötü amaçlı web sitelerine ve ClickFix saldırılarına karşı koruduğunu biliyor muydunuz? Ayrıca reklamları ve izleyicileri de engeller, bu da bir avantajdır.

Tehditleri herhangi bir zarar vermeden önce durdurun.

Malwarebytes Tarayıcı Guard, kimlik avı sayfalarını ve kötü amaçlı siteleri otomatik olarak engeller. Ücretsiz, yüklemek için tek tıkla. Tarayıcınıza ekleyin →

Paylaş: