Güvenlik firmaları, arama motorlarında öne çıkan reklamların çeşitli çevrimiçi hizmetleri taklit ederek Mac bilgisayarları etkili bir kimlik bilgisi çalma yazılımına bulaştırdığına dair uyarıda bulundu. Son bildirilen hedef ise LastPass şifre yöneticisi kullanıcıları.
Geçtiğimiz hafta sonu, LastPass yaptığı açıklamada, Google ve Bing gibi arama motorlarının arama sonuçlarında LastPass macOS uygulamaları için reklamlar gösteren, arama motoru optimizasyonunu kullanan geniş çaplı bir kampanya tespit ettiğini bildirdi. Reklamlar, LastPass'i hedef alan iki sahte GitHub sitesinden birine yönlendiriyordu ve bu siteler kaldırıldı. Bu sayfalar, Mac'lere LastPass yükleme vaadiyle bağlantılar sunuyordu. Ancak aslında bu bağlantılar, Atomic Stealer veya alternatif olarak Amos Stealer olarak bilinen bir macOS kimlik bilgisi çalma yazılımını yüklüyordu.
Onlarca Kullanıcı Hedef Alındı
LastPass, blog yazısında, “Kampanya hakkında farkındalık yaratmak ve müşterilerimizi korumak amacıyla yazıyoruz. Bu sırada zarar verme ve engelleme çabalarımızı sürdürüyoruz. Ayrıca, diğer güvenlik ekiplerinin siber tehditleri tespit etmesine yardımcı olmak için saldırı göstergelerini (IoC) paylaşıyoruz” ifadelerini kullandı.
LastPass, bu tür reklamlarda tanınmış markasının istismar edilmesiyle yalnız değil. LastPass tarafından sağlanan saldırı göstergeleri arasında 1Password, Basecamp, Dropbox, Gemini, Hootsuite, Notion, Obsidian, Robinhood, Salesloft, SentinelOne, Shopify, Thunderbird ve TweetDeck gibi başka yazılım veya hizmetlerin taklit edildiği belirtiliyor. Genellikle reklamlar, yazılımı belirgin puntolarla sunuyor. Tıklandığında, reklamlar Atomic'in sahte bir şekilde reklamı yapılan resmi yazılımlar gibi görünen sürümlerini yükleyen GitHub sayfalarına yönlendiriyor.
Kötü amaçlı yükleyiciler bazen Mac'e özgü .dmg formatında bir dosyayı indirerek casus yazılımı yüklemeyi teklif ediyor. Apple, Mac'lerde yerleşik olarak bulunan ve bilinen kötü amaçlı yazılımların yüklenmesini engelleyen Gatekeeper adlı zararlı yazılım korumasını ekledikten sonra, saldırganlar bunu aşan yeni bir yöntem kullanmaya başladı. Bu yöntem, kullanıcının bot olmadığını kanıtlamak amacıyla bir CAPTCHA gibi davranarak, bir metin dizesinin kopyalanıp Mac terminal penceresine yapıştırılmasını gerektiriyordu. Gerçekte ise bu dize, Gatekeeper'ın herhangi bir müdahalesi olmadan kötü amaçlı .dmg'yi indirme ve yükleme komutuydu. Araştırmacılar, bu Gatekeeper'ı aşma tekniği hakkında en az son 20 aydır uyarıyor.
Atomic hakkında farkındalık yaratma çabalarına rağmen, insanlar yaygın olarak kullanmaya devam etti ve bu da etkinliğini sürdürdüğünü gösteriyor. Yukarıda belirtilen bir rapor, Homebrew kullanıcılarına karşı kullanıldığını bildiriyor. Homebrew, birçok macOS uyumlu uygulama geliştiricisi için vazgeçilmez bir araçtır.
Kullanıcılar, yalnızca bir sitenin resmi web sayfasında sağlanan bağlantılardan yazılım indirmelidir. Bir reklam gördüklerinde ve tanıtılan uygulamayı yüklemeye karar verdiklerinde, reklamdaki indirme bağlantısına tıklamak yerine yeni bir sekme açıp doğrudan resmi web sitesini ziyaret etmelidirler.
