MacOS kullanıcılarını ele geçirmek için kullanılan iş görüşmesi dolandırıcılığı ortaya çıkarıldı

Microsoft, macOS kullanıcılarını hedef alan bir iş görüşmesi dolandırıcılığını ortaya çıkardı. Şirket, Apple ile birlikte çalışarak şifreler ve kripto cüzdan verileri gibi hassas bilgilerin çalınmasına olanak tanıyan gizli bir macOS saldırısını engelledi.

Siber güvenlik, zincirdeki tek bir zayıf halkanın tüm altyapıyı felce uğratabileceği bir alan olduğu için ortak sorumluluk gerektiriyor. Birçok yazılım üreticisi ve güvenlik uzmanı güvenlik açıklarını tespit etmek, bunları bakım ekiplerine gizli şekilde bildirmek ve saldırganlar tarafından kullanılmadan önce kapatılmasını sağlamak için birlikte çalışıyor. Bu ekiplerden biri olan Microsoft Threat Intelligence, kimlik bilgileri ve kripto cüzdanları gibi hassas verilerin çalınmasına izin veren büyük bir güvenlik açığını kapatmak için Apple ile iş birliği yaptı.

Neowin ile paylaşılan detaylara göre Microsoft, Kuzey Kore bağlantılı devlet destekli Sapphire Sleet adlı grubun macOS kullanıcılarını hedef alan sofistike bir saldırı kampanyası yürüttüğünü açıkladı. İlginç olan ise bu saldırının yazılım açıklarını sömürmekten çok sosyal mühendislik yöntemlerine dayanması.

Saldırganlar sahte işe alım uzmanı profilleri oluşturuyor ve hedef aldıkları kişilerle iş fırsatları hakkında iletişime geçiyor. Daha sonra adaylara teknik iş görüşmesi davetleri gönderiliyor. Adaylar görüşmeye katıldığında ise toplantı sırasında paylaşılan “Zoom SDK Update.scpt” adlı bir dosyayı yüklemeleri isteniyor.

Bu AppleScript dosyası macOS’te varsayılan olarak Script Editor uygulamasında açılıyor. İlk bakışta tamamen zararsız ve resmi görünüyor. Ancak dosyada binlerce satır aşağı kaydırıldığında içine gizlenmiş zararlı kod ortaya çıkıyor. Şüphelenmeyen kullanıcıdan bu script’i çalıştırması istendiğinde saldırı tetikleniyor.

Script çalıştırıldığında güvenilir mekanizmalar kullanılarak ek zararlı yazılım bileşenleri indiriliyor. Aynı zamanda kampanyanın ilerleyişi özel kullanıcı aracısı (user-agent) dizgileriyle takip ediliyor. Zararlı yazılım daha sonra keşif faaliyetlerine başlayarak kullanıcının hesabı ve bilgisayarı hakkında bilgi topluyor.

Ardından kötü amaçlı bir System Update uygulaması başlatılıyor. Bu uygulama ayarları yapılandırabilmek için kullanıcıdan sistem şifresini girmesini istiyor. Microsoft’a göre bu diyalog kutusu macOS’in yerel arayüz bileşenlerini kullandığı için gerçek bir sistem uyarısından “görsel olarak ayırt edilemez” durumda.

Şifre sistem veritabanında doğrulandıktan sonra hemen Telegram Bot API üzerinden Sapphire Sleet’e gönderiliyor.

Saldırı zinciri daha sonra bir Software Update uygulaması başlatarak Zoom güncellemesinin başarıyla tamamlandığı izlenimini veriyor. Bu da kullanıcının yazılımın meşru olduğundan şüphe duymasını azaltıyor. Son aşamada ise hedef bilgisayarda kalıcılığı sağlamak için birden fazla arka kapı yükleniyor.

Sapphire Sleet’in sistemden topladığı ek bilgiler arasında şunlar yer alıyor:

• Sistem ve cihaz keşif verileri
• Kurulu uygulamalar ve çalışma doğrulamaları
• Mesajlaşma oturum verileri (Telegram)
• Tarayıcı verileri ve eklenti depoları
• macOS anahtar zinciri (Keychain)
• Kripto para masaüstü cüzdanları
• SSH anahtarları ve komut geçmişi
• Apple Notes verileri
• Sistem günlükleri ve başarısız erişim denemeleri

Saldırının ortaya çıkarılmasının ardından Microsoft durumu Apple’a bildirdi. Bunun üzerine Apple özellikle macOS ve Safari’de güvenlik altyapısını güçlendirdi. Microsoft ise Defender güvenlik yazılımını güncelleyerek kullanıcıların Sapphire Sleet saldırılarına karşı korunmasını sağladı. Ayrıca güvenlik ekiplerinin saldırıları tespit edip engelleyebilmesi için bazı rehberler ve XDR sorguları da paylaşıldı.

Saldırının tam kapsamı bilinmiyor ancak kampanyanın özellikle yüksek değerli hedeflere yönelik olduğu düşünülüyor. Bunun nedeni saldırının sahte işe alım profilleri üzerinden yayılması ve kripto para cüzdanlarını da hedef alması. Ayrıca görüşmeye katılan kişinin mutlaka macOS cihaz kullanması gerekiyor.