X'teki sponsorlu reklamlar aracılığıyla yayılan kötü amaçlı yazılım
Görsel: 9to5Mac
Jamf Threat Labs, şirketin güvenlik araştırma kolu, yakın zamanda X sosyal medya sitesinde sponsorlu bir reklam olarak yayınlanan ClickFix tarzı bir saldırının ayrıntılarını paylaştı. Reklam, tanınmış bir hesaptan geliyordu ve popüler bir Mac uygulaması kisvesi altında kötü amaçlı bir alan adını tanıtıyordu.
Söz konusu reklam, MacBook'unuzun çentiğini resmi olmayan ancak tamamen çalışan bir Dynamic Island'a dönüştüren meşru bir Mac yardımcı programı olan DynamicLake gibi görünüyordu. Ancak Jamf'in araştırmasına göre, yukarıda görülen orijinal bağlantı, gerçek uygulamayla hiçbir bağlantısı olmayan kötü amaçlı bir taklit alan adı olan dynamicmacisland[.]com'a yönlendiriyordu.
Bu siteye gelen ziyaretçilere, Terminal'i açmaları ve Mac'lerine sessizce kötü amaçlı yazılım yükleyecek bir kurulum kodu yapıştırmaları talimatı verildi. Bu, ClickFix sosyal mühendislik saldırılarını tanımlayan klasik bir tekniktir. Apple tarafından imzalanmış ve noter onaylı meşru uygulamalar asla bunu yapmanızı istemez.
Jamf, yükü Atomic Stealer'ın yakın zamanda ortaya çıkan bir varyantı olarak tanımladı ve onu MacSync olarak izliyor. Bu saldırıda DigitStealer vakaları da tespit edildi. Reklam, oldukça fazla takipçisi olan doğrulanmış bir hesaptan geldi ve bu da durumu daha ilginç ve daha tehlikeli hale getiriyor.
Hesap sahibinin kimliğini korumak için ismi gizli tutmayı seçtik çünkü amaçları kötü amaçlı yazılım yaymak değildi. Görünüşe göre hesap sahibi reklama güvendi ve hesabı için onayladı, meşru olduğuna inandı ve kötü amaçlı bir alana yönlendirdiğinden habersizdi. Doğrulanmış bir rozet ve tanıdık bir isim, rastgele bir hesabın asla sahip olamayacağı bir güven düzeyi sağlar. Güven, herhangi bir iyi sosyal mühendislik saldırısının temelidir.