bencede
New member
BT güvenlik araştırmacıları, Atomic Stealer adlı kötü amaçlı yazılımı Mac kullanıcılarına yüklemeye çalışan bir kötü amaçlı reklam kampanyası gözlemliyor. Bilgi hırsızı, anahtarlıklardan ve tarayıcılardan bilgi çıkarıyor, dosya aktarabiliyor ve kripto cüzdanlarını boşaltabiliyor.
Duyuru
Malwarebytes çalışanlarının açıkladığı gibi kampanya her zamanki gibi sadece Windows kullanıcılarını hedef almıyor, aynı zamanda Apple kullanıcılarını da hedef alıyor. Google’da, saldırganların ünlü markaların reklamlarını satın aldığı ve böylece kurbanları sözde resmi site olan kendi sitelerine çektiği özel bir kötü amaçlı reklam kampanyası sürüyor. Bu özel durumda, kampanya kripto para birimi grafik aracı Tradingview’e yöneliktir. Reklamda saldırganlar, iki “i” ve “n” harflerinin yerine benzer görünümlü Unicode kodlu karakterlerin kullanıldığı, Unicode karakterlere sahip bir alan gösteriyor.
Kötü amaçlı yazılım reklamı: Güvenliği ihlal edildiği iddia edilen hesaplar kullanılıyor
Bilgisayar araştırmacıları, Google’ın Reklam Şeffaflık Merkezi’ne göre reklamın Belaruslu bir reklamveren tarafından yerleştirildiğini yazıyor. Bunun muhtemelen kötü adamların kampanya için kullandığı ele geçirilmiş bir hesap olduğunu varsayıyorlar.
Potansiyel kurbanlar, reklamı tıkladıktan sonra URL izleme görünümlerinin bulunduğu kimlik avı sayfasına yönlendirilir[.]com, “b” ve “d” benzerliğine dayanan bir yazım hatası alanı. Kimlik avı sayfasının görünümü orijinal web sitesini temel alır ve her biri Windows, Mac ve Linux için olmak üzere üç indirme düğmesi sunar. Linux ve Windows indirmeleri, Discord’da barındırılan bir MSIX yükleyicisine işaret ederken Mac indirmeleri, uygulama indirmeleri alanına işaret eder[.]org – ikincisi en azından ilk bakışta daha az şüpheli görünüyor.
Kurulum talimatlarını içeren Mac için kötü amaçlı yazılım
Siber araştırmacılara göre TradingView.dmg yükleyicisi, ağ geçidi denetleyicisine rağmen nasıl çalıştırılacağına dair talimatlarla birlikte geliyor. Çoğu yaygın uygulamanın aksine, görüntü DMG görüntüsüne monte edilir ve uygulama, uygulama klasörüne sürüklenmeden onun içinde çalışır. Kötü amaçlı yazılım, özel olarak imzalanmış bir uygulamayla birlikte gelir. Malwarebytes araştırmacıları, sertifikanın Apple’dan gelmemesi nedeniyle iptal edilemeyeceğini açıklıyor. Kötü amaçlı yazılım yürütüldükten sonra, kurbanlar pes edip şifreyi girene kadar sonsuz bir döngüde kullanıcının şifresini ister.
Atomic Stealer daha sonra verileri topluyor ve kampanyanın arkasındaki beyinlerin sunucularına gönderiyor. Buna şifreler, otomatik olarak doldurulan formlardaki veriler ve kullanıcı bilgilerinin yanı sıra web tarayıcısı çerezleri, anahtarlıklar, cüzdanlar ve kriptografik dosyalar da dahildir.
Analizde, Malwarebytes çalışanları dosya karmaları, komut ve kontrol sunucusu IP’leri veya indirme URL’leri gibi tehlike göstergelerini (IOC’ler) listeliyor. Potansiyel olarak etkilenen kişiler, bilgisayarlarında kötü amaçlı yazılım olup olmadığını görmek için bunu kullanabilir.
Atomic Stealer, bu yılın Nisan ayı civarında bilinen macOS için bir kötü amaçlı yazılımdır. Mayıs ayında Telegram’da zaten dolaşıyordu.
(Bilmiyorum)
Haberin Sonu
Duyuru
Malwarebytes çalışanlarının açıkladığı gibi kampanya her zamanki gibi sadece Windows kullanıcılarını hedef almıyor, aynı zamanda Apple kullanıcılarını da hedef alıyor. Google’da, saldırganların ünlü markaların reklamlarını satın aldığı ve böylece kurbanları sözde resmi site olan kendi sitelerine çektiği özel bir kötü amaçlı reklam kampanyası sürüyor. Bu özel durumda, kampanya kripto para birimi grafik aracı Tradingview’e yöneliktir. Reklamda saldırganlar, iki “i” ve “n” harflerinin yerine benzer görünümlü Unicode kodlu karakterlerin kullanıldığı, Unicode karakterlere sahip bir alan gösteriyor.
Kötü amaçlı yazılım reklamı: Güvenliği ihlal edildiği iddia edilen hesaplar kullanılıyor
Bilgisayar araştırmacıları, Google’ın Reklam Şeffaflık Merkezi’ne göre reklamın Belaruslu bir reklamveren tarafından yerleştirildiğini yazıyor. Bunun muhtemelen kötü adamların kampanya için kullandığı ele geçirilmiş bir hesap olduğunu varsayıyorlar.
Potansiyel kurbanlar, reklamı tıkladıktan sonra URL izleme görünümlerinin bulunduğu kimlik avı sayfasına yönlendirilir[.]com, “b” ve “d” benzerliğine dayanan bir yazım hatası alanı. Kimlik avı sayfasının görünümü orijinal web sitesini temel alır ve her biri Windows, Mac ve Linux için olmak üzere üç indirme düğmesi sunar. Linux ve Windows indirmeleri, Discord’da barındırılan bir MSIX yükleyicisine işaret ederken Mac indirmeleri, uygulama indirmeleri alanına işaret eder[.]org – ikincisi en azından ilk bakışta daha az şüpheli görünüyor.
Kurulum talimatlarını içeren Mac için kötü amaçlı yazılım
Siber araştırmacılara göre TradingView.dmg yükleyicisi, ağ geçidi denetleyicisine rağmen nasıl çalıştırılacağına dair talimatlarla birlikte geliyor. Çoğu yaygın uygulamanın aksine, görüntü DMG görüntüsüne monte edilir ve uygulama, uygulama klasörüne sürüklenmeden onun içinde çalışır. Kötü amaçlı yazılım, özel olarak imzalanmış bir uygulamayla birlikte gelir. Malwarebytes araştırmacıları, sertifikanın Apple’dan gelmemesi nedeniyle iptal edilemeyeceğini açıklıyor. Kötü amaçlı yazılım yürütüldükten sonra, kurbanlar pes edip şifreyi girene kadar sonsuz bir döngüde kullanıcının şifresini ister.
Atomic Stealer daha sonra verileri topluyor ve kampanyanın arkasındaki beyinlerin sunucularına gönderiyor. Buna şifreler, otomatik olarak doldurulan formlardaki veriler ve kullanıcı bilgilerinin yanı sıra web tarayıcısı çerezleri, anahtarlıklar, cüzdanlar ve kriptografik dosyalar da dahildir.
Analizde, Malwarebytes çalışanları dosya karmaları, komut ve kontrol sunucusu IP’leri veya indirme URL’leri gibi tehlike göstergelerini (IOC’ler) listeliyor. Potansiyel olarak etkilenen kişiler, bilgisayarlarında kötü amaçlı yazılım olup olmadığını görmek için bunu kullanabilir.
Atomic Stealer, bu yılın Nisan ayı civarında bilinen macOS için bir kötü amaçlı yazılımdır. Mayıs ayında Telegram’da zaten dolaşıyordu.
(Bilmiyorum)
Haberin Sonu