- Jamf, Kuzey Koreli aktörlerin macOS kullanıcılarını hedeflemek için sahte iş reklamları ve ClickFix taktikleri kullandığını bildirdi
- Kurbanlar, Terminal’de curl komutlarını çalıştırmaları ve EsnekFerret arka kapı kötü amaçlı yazılımını yüklemeleri için kandırılıyor
- Bulaşıcı Röportaj adı verilen kampanya, kimlik bilgileri hırsızlığına, dosya hırsızlığına ve sistemin tehlikeye atılmasına olanak sağlıyor
Kuzey Kore devlet destekli tehdit aktörleri yeni yazılımlarla macOS kullanıcılarını hedef alıyor kötü amaçlı yazılımUzmanlar, iki popüler yaklaşımı (sahte iş ilanları ve ClickFix) birleştiren bir strateji kullandığı konusunda uyardı.
Güvenlik araştırmacıları Jamf onaylandı kurbana sahte bir problemin sunulduğu ve aynı zamanda bir düzeltmenin sunulduğu bir saldırı yöntemi olan ClickFix’i kullanarak vahşi doğada saldırılar tespit ettiler. Bu, 2000’li yılların başında internete hakim olan eski “Bir virüsünüz var” açılır penceresinin gelişmiş halidir.
Jamf, EsnekFerret kötü amaçlı yazılım ailesinden ‘DPRK uyumlu operatörlerin’ Bulaşıcı Röportaj adı verilen daha geniş bir kampanyanın parçası olarak sahte şirketler, sahte LinkedIn profilleri ve en önemlisi sahte iş ilanları oluşturduğunu söylüyor.
Kıvrılma komutları ve sahte düzeltmeler
Çoğunlukla yazılım geliştiriciler olan mağdurlar ya bu web sitelerini ve iş ilanlarını kendileri keşfedecek ya da LinkedIn aracılığıyla görüşmelere davet edileceklerdi.
Birden fazla döngüden geçtikten sonra kurbanlardan işverenin platformu aracılığıyla kendilerinin bir videosunu kaydetmeleri isteniyor, ancak bunu yapmayı denerlerse platform onlara kameralarının düzgün çalışmadığını söylüyor.
Daha sonra onlara, sorunu çözmeyen ancak sisteme kötü amaçlı yazılım bulaştıran bir düzeltme (Terminal’e girilecek bir curl komutu) sunulur.
Aslında bir arka kapı olan bu kötü amaçlı yazılım birkaç şey yapar; kısa bir makine tanımlayıcısı oluşturur, kopyaları kontrol eder ve ardından sabit kodlu bir komut sunucusundan ek komutlar çeker.
Bu komutlar arasında sistem bilgilerinin toplanması, dosyaların yüklenmesi veya indirilmesi, kabuk komutlarının yürütülmesi, Chrome profil verilerinin çekilmesi veya otomatik kimlik bilgisi hırsızlığının tetiklenmesi yer alıyor.
Araştırmacılar, şu sonuca vardı: “Kuruluşlar, istenmeyen ‘mülakat’ değerlendirmelerini ve Terminal tabanlı ‘düzeltme’ talimatlarını yüksek riskli olarak ele almalı ve kullanıcıların bu istemleri takip etmek yerine durup rapor etmelerini sağlamalıdır.”
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.