Security researchers at Malwarebytes popüler CleanMyMac sistem yardımcı aracını taklit eden sahte bir web sitesi aracılığıyla macOS kullanıcılarını hedef alan bir kötü amaçlı yazılım kampanyası tespit edildi. Bu operasyon, enfekte cihazlardan şifreleri, kripto para cüzdanı verilerini ve diğer hassas bilgileri toplamak için tasarlanmış bilgi çalan bir zararlı yazılım dağıtıyor.
Kötü niyetli kampanya, meşru CleanMyMac ürün sayfasını yakından taklit eden sahte bir web sitesine dayanıyor. CleanMyMac, MacPaw tarafından geliştirilen ve milyonlarca Mac kullanıcısı tarafından depolama ile sistem performansını yönetmek için kullanılan bir macOS bakım ve optimizasyon aracıdır. Saldırganların sitesi yazılım için bir indirme portalı olarak kendini sunuyor, ancak MacPaw veya resmi CleanMyMac uygulamasına bağlı değil.
Güvenlik araştırmacılarına göre, sahte sayfa ziyaretçileri meşru siteye benzeyen bir alan adına yönlendiriyor. Mağdurlara, Mac’lerinde Terminal uygulamasını açıp sayfaya verilen bir komutu yapıştırmaları talimatı verilir. Komut çalıştırıldığında, saldırgacı kontrolündeki bir sunucudan doğrudan kötü amaçlı yazılım indirilir ve yüklenir.
Saldırıda kullanılan teknik “ClickFix” olarak biliniyor; bu, kullanıcıları kötü niyetli komutları kendilerinin çalıştırmasına ikna eden bir sosyal mühendislik yöntemidir. Komut kullanıcı tarafından gönüllü olarak yürütüldüğü için, macOS’un Gatekeeper, noter doğrulama kontrolleri ve XProtect gibi birçok yerleşik koruması kurulumu engellemez.
Çalıştırıldığında, komut macOS bilgi çalan bir zararlı yazılım olan SHub Stealer’ı yükler. Zararlı yazılım, tehlikeye giren sistemden hassas verileri toplamak için tasarlanmıştır; tarayıcı verileri, kaydedilen şifreler, Apple Anahtar Zinciri bilgileri, kripto para cüzdanı dosyaları ve Telegram gibi mesajlaşma platformu oturumları dahildir.
Araştırmacılar ayrıca, kötü amaçlı yazılımın bazı kripto para cüzdan uygulamalarını değiştirmeye çalıştığını ve böylece saldırganların daha sonra kurtarma ifadelerine veya diğer kimlik doğrulama bilgilerine erişebileceğini gözlemlediler. Potansiyel hedef alınabilecek cüzdan uygulamaları arasında Exodus, Atomic Wallet ve Ledger ile ilgili yazılımlar yer alıyor.
Saldırı dizisi, tam yük teslim edilmeden önce sistemi hazırlayan küçük bir yükleyici scripti ile başlar. Bazı durumlarda, betik sistem ayarlarını kontrol ederek cihazın konumunu veya dil yapılandırmasını kontrol eder ve enfeksiyon sürecine devam eder.
Kurulumdan sonra, kötü amaçlı yazılım sistemde kalabilir ve saldırganın kontrolündeki altyapıyla iletişim kurmaya devam edebilir. Veri çalmanın yanı sıra, araştırmacılar kötü amaçlı yazılımın saldırganların ilk veri toplama gerçekleştikten sonra bile erişimini sürdürmesini sağlayan kalıcı bir arka kapı bırakabileceğini söylüyor.
Kampanya, saldırganların teknik güvenlik açıklıklarından faydalanmak yerine giderek sosyal mühendisliğe başvurduğunu vurguluyor. Mağdurları komutları manuel çalıştırmaya ikna ederek, kötü amaçlı yazılım macOS sistemlerini korumak için tasarlanmış birçok otomatik savunmayı atlar.
Güvenlik araştırmacıları, yazılımı yalnızca resmi geliştirici web sitelerinden veya güvenilir uygulama mağazalarından indirmeyi önerir. Ayrıca, kullanıcılara, Terminal’e komut yapıştırma talimatı veren herhangi bir web sitesini şüpheli olarak değerlendirmelerini tavsiye ederler, çünkü yasal uygulamalar nadiren bu kurulum yöntemini gerektirir.