Mac kullanıcılarını hedef alan yeni bir kimlik avı saldırısı tespit edildi. Bu saldırı, daha önce hedef alınan Windows kullanıcılarının Edge tarayıcı güncellemesi sonrasında taktik değiştirdi.
Çevrimiçi suçlular, kimlik bilgilerini veya hassas bilgileri paylaşmaya teşvik eden web siteleri kurarak ve mesajlar göndererek insanları kandırmaya çalıştıkları için, kimlik avı saldırıları oldukça yaygın tehditlerdir. Bazı durumlarda hedef kitle, beklenmedik nedenlerle değişebilir.
Güvenlik firması LayerX Labs tarafından keşfedilen bu yeni saldırı, özellikle Mac kullanıcılarını hedef alıyor. Ancak, bu saldırının en son hedefi macOS olmasına rağmen, kimlik avı kampanyası başlangıçta farklı bir kitleyi hedef alıyordu.
Başlangıçta Windows Kullanıcıları Hedefteydi
LayerX tarafından 19 Mart’ta detaylandırılan kampanya, Windows içindeki sahte güvenlik uyarılarını kullanarak oldukça sofistike bir şekilde çalışıyordu. Bir yılı aşkın süredir izlenen saldırı, kullanıcıların “ele geçirilmiş” ve “kilitlenmiş” olduğu iddiasıyla sahte uyarılar görüntüleyen ele geçirilmiş web siteleri kullanıyordu.
Zararlı kod kullanılarak, kullanıcıların bilgisayar ekranının kilitlendiği izlenimi veriliyordu. Bu süreçte, kullanıcıların Windows kullanıcı adı ve parolasını girmeleri istenen bir pencere açılıyordu.
Ayrıca, saldırının inandırıcılığını artırmak için kampanya, Microsoft’un Azure uygulamalarını barındırmak için kullanılan Windows.net platformunda barındırılıyordu; bu da kullanıcıların mesajların Microsoft’tan geldiğine inanmasına neden oluyordu.
Tarayıcı Güncellemeleri Saldırıyı Kırdı
LayerX, kampanyanın yoğunlaşmaya başladığını ve sonunda Microsoft’un da bu saldırıyı fark ettiğini belirtti. Microsoft, bu saldırıyı engellemek için Edge tarayıcısında yeni bir “anti-scareware” özelliği ekledi.
Benzer koruyucu özellikler aynı zamanda Google Chrome ve Mozilla Firefox’a da eklendi. Bu değişikliklerden sonra, LayerX Windows kullanıcılarına yönelik saldırılarda %90’lık bir düşüş gördü. Ancak saldırılar tamamen sona ermedi; zararlı sayfalar hala faaliyet halindeydi ama sahte uyarıları kullanıcılarına gösteremiyordu.
Windows kullanıcıları artık geçerli bir hedef olmadığından, saldırganlar çabalarını ve altyapılarını başka bir kitleye, yani Mac kullanıcılarına yönlendirmeye karar verdiler.
Mac Kullanıcılarına Yönelik Yenilikçi Saldırılar
Microsoft’un Edge tarayıcısındaki değişikliklerin üzerinden yalnızca iki hafta sonra, LayerX Mac kullanıcılarına yönelik benzer saldırılar tespit etmeye başladı. Kampanya, aslında çok az değişiklikle baştan aşağı yeniden yapılandırılarak Safari kullanıcılarına odaklanmıştı.
Saldırı, phishing sayfasının tasarımını ve mesajlarını macOS uygulamalarına uygun olacak şekilde güncelleyerek işleyişe devam etti. Kullanıcıları hedeflemek için Safari kullanıcılarına özel HTTP OS ve kullanıcı aracısı parametreleri kullanarak kod güncellenmişti. Garip bir şekilde, saldırı hala Windows.net altyapısına dayanıyordu.
Bu Mac varyantının varlığı, suçluların uyum sağlamakta istekli olduklarını gösteriyor. Windows kullanıcılarından Mac kullanıcılarına geçiş yapmak için çok az maddi değişiklik yapılmıştı.
Kendinizi Koruyun!
Kullanıcılar, genellikle iyi çevrimiçi hijyen ile kimlik avı saldırılarından kaçınabilirler. Genel selamlarla başlayan mesajlar, abartılı teklifler ve URL’lerde veya görüntülerdeki hatalar, bir şeylerin yanlış gittiğinin açık işaretleri olabilir.
Yukarıda bahsedilen tarayıcı tabanlı saldırılarda, bilgisayarın kilitlendiğini iddia eden bir uyarı ile karşılaşıldığında, genellikle donmuş bir sekmeyi kapatmak veya tarayıcıyı zorla kapatmak mümkün olacaktır. Ayrıca, Apple’ın asla Windows alanından kaynaklanan uyarılar vermesi beklenmez.
Uyarıların ve şüpheli mesajların bir an için düşünülmesi, birçok kullanıcının çevrimiçi tuzaklardan kaçınabilmesini sağlayabilir.
