X'te Doğrulanmış Reklamla Yayılan Mac Kötü Amaçlı Yazılımı ve ConsentFix Tehdidi Yazılım

X'te Doğrulanmış Reklamla Yayılan Mac Kötü Amaçlı Yazılımı ve ConsentFix Tehdidi

Siber suçlular, X'te doğrulanmış hesaplarla Mac kullanıcılarını hedef alan ClickFix saldırısı ve ConsentFix ile Microsoft 365 hesaplarını çalıyor.

Siber suçlular, kullanıcıları kendi cihazlarını ve hesaplarını tehlikeye atmaya ikna etmek için yeni yöntemler geliştirmeye devam ediyor. Son olarak, X platformunda bir sponsorlu reklam aracılığıyla Mac kullanıcılarını hedef alan bir kampanya keşfedildi. Bu saldırıda, doğrulanmış bir hesaptan yayınlanan reklam, güvenilirlik algısını artırarak kurbanları tuzağa çekiyor. Aynı zamanda, ConsentFix adı verilen başka bir teknik, kötü amaçlı yazılım yüklemeden Microsoft 365 hesaplarını çalabiliyor.

ClickFix saldırısı, kullanıcıları sahte bir 'insan doğrulama' ekranı veya DynamicLake gibi meşru bir macOS yardımcı programının sahte indirmesiyle kandırıyor. DynamicLake, MacBook'un çentiğini Apple'ın Dynamic Island'ının gayri resmi bir sürümüne dönüştüren bir araçtır. Saldırı, kullanıcının panodan bir komut yapıştırmasını gerektiriyor ve bu da onu büyük ölçüde kullanıcı etkileşimine bağımlı kılıyor. Gerçekte, bağlantıya tıklayanlar dynamicmacisland[.]com adlı sahte bir alana yönlendiriliyor ve Terminal'i açıp sessizce kötü amaçlı yazılım yükleyen komutları yapıştırmaları isteniyor.

Bu kampanya, üç endişe verici eğilimi birleştiriyor: Terminal komutları kullanan ClickFix tarzı sosyal mühendislik, güvenilir Mac uygulamalarını taklit eden sahte alan adları ve saldırıları geniş bir kitleye ölçeklendirmek için kullanılan ücretli reklam altyapısı. Kötü amaçlı yazılımın, Atomic Stealer bilgi hırsızının çeşitli varyantlarını teslim ettiği bildiriliyor. Bu desen, Google Reklamları'nın sahte yazılım yükleyicilerini tanıttığı ve kullanıcıların güvenilir geliştirici araçlarını ararken kötü amaçlı sponsorlu listelerle karşılaştığı önceki vakaları yansıtıyor. Açık ders: Ücretli yerleşim ve doğrulama rozetleri, özellikle saldırganlar otomatik taramayı atlatmak için kasıtlı olarak kampanyalar tasarladığında, güvenliğin garantisi değildir.

Windows kullanıcıları da ClickFix saldırılarının bir sonraki nesli olan ConsentFix konusunda uyarılıyor. ConsentFix, ClickFix'ten farklı olarak sizi yükleyici değil, kimlik sağlayıcı haline getiriyor. Kötü amaçlı yazılım çalıştırmanız için sizi kandırmak yerine, sosyal mühendislik kullanarak tarayıcı üzerinden bulut oturum açma belirteçlerinizi teslim etmenizi sağlıyor; hiçbir zaman kötü amaçlı yazılım çalıştırmanız veya şifrenizi yazmanız gerekmiyor. Örneğin, bir kimlik avı e-postası, genellikle Dropbox gibi güvenilir platformlarda barındırılan bir bağlantı içerebilir. Bazen bir parola ile korunur, bu da güvenlik araçlarının incelemesini zorlaştırır.

Sistem Güvenliği

Hedef bağlantıya tıklarsa, standart bir Microsoft oturum açma sayfasına benzer bir sayfa görür ve işlemi tamamlamak için tarayıcıya bir localhost geri arama bağlantısı sürüklemesi istenir. İşte tuzak o anda kapanır. Kurban farkına varmadan, saldırgana oturum belirteçlerini teslim eder ve bu da saldırganın şifre veya çok faktörlü kimlik doğrulama (MFA) gerektirmeden e-postaya ve diğer Microsoft 365 hizmetlerine erişmesini sağlar. Yöntemin bir Rus siber suç forumunda paylaşıldığı bildiriliyor ve bu da daha az deneyimli siber suçluların Microsoft 365 hesaplarını çalmasını kolaylaştırıyor.

Bu saldırılara karşı en iyi korunma yöntemi, bu tür tehditlerin varlığını bilmek ve nasıl göründüklerini tanımaktır. Beklenmedik bağlantılara güvenmeyin; e-posta, metin, sosyal medya veya doğrulanmış hesaplar ve sponsorlu arama sonuçları yoluyla gelse bile. Olağandışı veya tam olarak anlamadığınız talimatları uygulamadan önce düşünün. Kimlik bilgilerini doldururken tarayıcı çubuğundaki adresi her zaman kontrol edin. Güncel, gerçek zamanlı bir kötü amaçlı yazılım önleme çözümü kullanın. Örneğin, ücretsiz Malwarebytes Browser Guard tarayıcı uzantısı, kötü amaçlı web sitelerine ve ClickFix saldırılarına karşı koruma sağlar. Tehditleri zarar vermeden durdurun.

Kaynak: malwarebytes.com

Paylaş: