Siber Muhbir

Vahşi doğadaki eserleri tespit eden Kaspersky, bunların macOS Ventura 13.6 ve sonraki sürümleri çalıştıran makineleri hedeflemek için tasarlandığını ve kötü amaçlı yazılımın hem Intel hem de Apple silikon işlemci mimarilerinde Mac'lere bulaşma yeteneğini gösterdiğini söyledi.

Saldırı zincirleri, "Activator" adlı bir program ve xScope gibi meşru yazılımların korsan bir sürümünü içeren bubi tuzaklı disk görüntüsü (DMG) dosyalarından yararlanır.

DMG dosyalarını açan kullanıcılardan, her iki dosyayı da Uygulamalar klasörüne taşımaları ve sözde bir yama uygulamak ve xScope uygulamasını çalıştırmak için Aktivatör bileşenini çalıştırmaları istenir.

Bununla birlikte, Activator'ı başlatmak, kurbandan sistem yöneticisi parolasını girmesini isteyen bir istem görüntüler ve böylece değiştirilmiş xScope yürütülebilir dosyasını başlatmak için yükseltilmiş izinlere sahip bir Mach-O ikili dosyasını yürütmesine izin verir.

Güvenlik araştırmacısı Sergey Puzan, "İşin püf noktası, kötü niyetli aktörlerin önceden kırılmış uygulama sürümlerini alması ve yürütülebilir dosyanın başına birkaç bayt eklemesi, böylece kullanıcının Activator'ı başlatmasını sağlamak için devre dışı bırakmasıydı" dedi.

Bir sonraki aşama, şifrelenmiş bir komut dosyası getirmek için bir komut ve kontrol (C2) sunucusuyla iletişim kurmayı gerektirir. C2 URL'si, kendi adına, iki sabit kodlanmış listedeki kelimelerin birleştirilmesi ve üçüncü düzey bir alan adı olarak beş harften oluşan rastgele bir dizi eklenmesiyle oluşturulur.

Daha sonra bu etki alanı için bir DNS isteği, her biri şifresi çözülen ve bir Python komut dosyası oluşturmak için bir araya getirilen Base64 kodlu bir şifreli metin parçası içeren üç DNS TXT kaydını almak için gönderilir ve bu da kalıcılık sağlar ve "apple-health[.] org" ana yükü indirmek ve yürütmek için her 30 saniyede bir.

Puzan, "Bu, bir komuta ve kontrol sunucusuyla iletişim kurmanın ve trafiği gizlemenin oldukça ilginç ve alışılmadık bir yoluydu ve yanıt mesajı DNS sunucusundan geldiği için yükün indirilmesini garanti ediyordu" dedi ve bunu "ciddi şekilde ustaca" olarak nitelendirdi.

Tehdit aktörü tarafından aktif olarak bakımı yapılan ve güncellenen arka kapı, alınan komutları çalıştırmak, sistem meta verilerini toplamak ve virüslü ana bilgisayarda Exodus ve Bitcoin Core cüzdanlarının varlığını kontrol etmek için tasarlanmıştır.

Bulunursa, uygulamalar "apple-analyser[.] com", tohum cümlesini, cüzdan kilit açma şifresini, adı ve bakiyeyi aktör tarafından kontrol edilen bir sunucuya sızdırmak için donatılmıştır.

Puzan, "Son yük, yönetici ayrıcalıklarına sahip herhangi bir komut dosyasını çalıştırabilen ve makinede yüklü olan Bitcoin Core ve Exodus kripto cüzdan uygulamalarını, cüzdanın kilidi açıldığı anda gizli kurtarma ifadelerini çalan virüslü sürümlerle değiştirebilen bir arka kapıydı" dedi.

Geliştirme, crackli yazılımların macOS kullanıcılarını Trojan-Proxy ve ZuRu dahil olmak üzere çeşitli kötü amaçlı yazılımlarla tehlikeye atmak için giderek daha fazla bir kanal haline gelmesiyle geliyor.

Güncelleştirmek

Siber güvenlik firması SentinelOne, 1 Şubat 2024'te Activator arka kapısına ilişkin kendi analizinde, kötü amaçlı yazılımın iş odaklı ve üretkenlik uygulamalarının düzinelerce farklı crackli kopyası aracılığıyla "şu anda yaygın bir şekilde çalıştığını" ve VirusTotal'da kötü amaçlı yazılımın bulaştığı birkaç yüz benzersiz Mach-O ikili dosyası bulduğunu söyledi.

Aktivatör, Gatekeeper korumalarını kapatmak ve kötü niyetli faaliyetlerini başlatmak için bir kurbanın yönetici parolasını istemesiyle dikkat çekiyor. Aktivatör kampanyası için en az 70 benzersiz crackli uygulama ele geçirildi.

Güvenlik araştırmacısı Phil Stokes, "Kampanyanın ölçeğinin yanı sıra, [Activator] endişe verici çünkü amacı, potansiyel olarak bir macOS botnet oluşturmak veya diğer kötü amaçlı yazılımları geniş ölçekte dağıtmak amacıyla macOS kullanıcılarına büyük ölçekte bulaştırmak gibi görünüyor" dedi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.