Kuzey Kore devlet destekli hacker grupları, macOS kullanıcılarını hedef alan yeni bir zararlı yazılım kampanyasıyla güvenlik uzmanlarının gündemine oturdu. Uzmanlar, saldırganların sahte iş ilanları ve ClickFix isimli yöntemi bir araya getirerek oldukça ikna edici bir saldırı zinciri oluşturduğunu söylüyor.
Güvenlik araştırmacıları Jamf, ClickFix tekniğinin gerçek dünyada aktif olarak kullanıldığını doğruladı. ClickFix; kurbanlara sahte bir problem gösterip aynı anda “çözüm” sunan, 2000’lerin başındaki ünlü “Bilgisayarınızda virüs var!” pop-up’larının gelişmiş bir versiyonu olarak tanımlanıyor.
Araştırmacılara göre FlexibleFerret zararlı yazılım ailesi ile bağlantılı “DPRK (Kuzey Kore) destekli operatörler”, sahte şirketler, sahte LinkedIn profilleri ve en önemlisi sahte iş ilanları oluşturarak “Contagious Interview” adı verilen geniş çaplı bir kampanya yürütüyor.
Sahte iş ilanları ve mülakat tuzağı
Saldırıların hedefinde çoğunlukla yazılım geliştiriciler bulunuyor. Kurbanlar, bu sahte iş ilanlarını kendi başlarına bulabildiği gibi, bazen doğrudan LinkedIn üzerinden “iş görüşmesine davet” mesajları da alıyor.
Adaylar birkaç aşamayı geçtikten sonra işverenin platformu üzerinden kendilerinin bir video kaydını oluşturmaları isteniyor. Ancak platform, kameranın düzgün çalışmadığına dair sahte bir hata mesajı gösteriyor.
Hemen ardından sorun “çözülüyormuş” gibi bir Terminal komutu (curl komutu) öneriliyor. Ancak bu komut bir düzeltme sunmak yerine sisteme zararlı yazılım yüklüyor.
Terminal komutu arkasındaki gerçek
Bu komutla indirilen zararlı yazılım aslında bir arka kapı işlevi görüyor. Çalıştığında önce kısa bir cihaz kimliği oluşturuyor. Sonra yinelenen kimlik olup olmadığını kontrol ediyor ve sabitlenmiş bir komut sunucusundan ek talimatlar alıyor.
Bu talimatlar arasında, sistem bilgisi toplama, dosya yükleme veya indirme, Shell komutları çalıştırma, Chrome profil verilerini çekme ve otomatik kimlik bilgisi hırsızlığı başlatma gibi son derece kritik işlemler bulunuyor.
Uzmanlardan uyarı: “Terminal komutlarına dikkat”
Jamf araştırmacıları, özellikle beklenmedik şekilde gelen mülakat görevleri ve Terminal üzerinde yapılması istenen “düzeltme” adımlarının yüksek risk taşıdığını belirtiyor ve şu uyarıyı yapıyor: “Kuruluşlar, istenmeyen ‘mülakat’ görevleri ve Terminal tabanlı ‘düzeltme’ talimatlarını yüksek riskli olarak değerlendirmeli. Kullanıcılar bu tür yönlendirmelerle karşılaştığında adımları izlemek yerine durumu rapor etmelidir.” macOS kullanıcılarının, özellikle yazılım geliştiricilerin, bu yeni saldırı zincirine karşı daha dikkatli olması gerekiyor.