Mac Kullanıcıları Dikkat: Korsan Yazılım Yoluyla Yayılan Yeni Trojan-Proxy Kötü Amaçlı Yazılımı
Crackli yazılımların truva atı haline getirilmiş sürümlerini dağıtan yetkisiz web sitelerinin Apple macOS kullanıcılarına yeni bir Trojan-Proxy kötü amaçlı yazılımı bulaştırdığı tespit edildi.
Kaspersky güvenlik araştırmacısı Sergey Puzan, "Saldırganlar, bir proxy sunucu ağı kurarak para kazanmak veya kurban adına suç eylemleri gerçekleştirmek için bu tür kötü amaçlı yazılımları kullanabilir: web sitelerine, şirketlere ve bireylere saldırılar başlatmak, silah, uyuşturucu ve diğer yasa dışı malları satın almak için" dedi.
Rus siber güvenlik firması, Windows ve Android için ortaya çıkarılan ve korsan araçlara dayanan eserler nedeniyle kötü amaçlı yazılımın platformlar arası bir tehdit olduğunu gösteren kanıtlar bulduğunu söyledi.
macOS varyantları, meşru multimedya, görüntü düzenleme, veri kurtarma ve üretkenlik araçları kisvesi altında yayılır. Bu, korsan yazılım arayan kullanıcıların kampanyanın hedefi olduğunu gösteriyor.
Disk görüntüsü olarak sunulan orijinal, değiştirilmemiş muadillerinin aksine (. DMG) dosyaları, hileli sürümler şeklinde teslim edilir. Yükleme sonrası kötü amaçlı davranışı etkinleştiren bir yükleme sonrası komut dosyasıyla donatılmış olarak gelen PKG yükleyicileri.
Puzan, "Bir yükleyici genellikle çalışmak için yönetici izinleri istediğinden, yükleyici işlemi tarafından çalıştırılan komut dosyası bunları devralır" dedi.
Kampanyanın nihai amacı, tespit edilmekten kaçınmak için kendisini macOS'ta WindowServer işlemi olarak maskeleyen Trojan-Proxy'yi başlatmaktır. WindowServer, pencere yönetiminden ve uygulamaların grafik kullanıcı arayüzünü (GUI) oluşturmaktan sorumlu bir çekirdek sistem işlemidir.
Başladıktan sonra, HTTPS protokolünü kullanarak DNS isteklerini ve yanıtlarını şifreleyerek HTTPS üzerinden DNS (DoH) aracılığıyla bağlanmak için komut ve kontrol (C2) sunucusunun IP adresini almaya çalışır.
Trojan-Proxy daha sonra C2 sunucusuyla iletişim kurar ve bağlanılacak IP adresini, kullanılacak protokolü ve gönderilecek mesajı ayrıştırmak için gelen mesajların işlenmesi de dahil olmak üzere daha fazla talimat bekler ve trafiği virüslü ana bilgisayar üzerinden yönlendirmek için TCP veya UDP aracılığıyla bir proxy görevi görme yeteneğinin sinyalini verir.
Kaspersky, 28 Nisan 2023 gibi erken bir tarihte VirusTotal tarama motoruna yüklenen kötü amaçlı yazılım örneklerini bulduğunu söyledi. Bu tür tehditleri azaltmak için, kullanıcıların güvenilmeyen kaynaklardan yazılım indirmekten kaçınmaları önerilir.
Benzer Haberler
Penn State, Savunma Bakanlığı ve NASA Siber Güvenlik Gereksinimlerine Uyulmaması Üzerine 1.25 Milyon Dolara Razı Oldu
Landmark Admin, 800.000 Kişiyi Etkileyen Veri İhlalini Açıkladı
Change Healthcare fidye yazılımı saldırısı 100 milyon kişiyi etkiliyor
SEC, Yanıltıcı SolarWinds Siber Saldırı Açıklamaları Nedeniyle 4 Şirketi Suçladı
İrlandalı gözlemci, GDPR ihlalleri nedeniyle LinkedIn'e 310 milyon Euro rekor para cezası verdi
Crypt Ghouls, LockBit 3.0 ve Babuk Fidye Yazılımı Saldırılarıyla Rus Firmalarını Hedef Alıyor
AB Mahkemesi, Meta'nın Kişisel Facebook Verilerini Hedefli Reklamlar İçin Kullanmasını Sınırladı
ABD, Büyük Dezenformasyon Baskısında 32 Rus Yanlısı Propaganda Alanını Ele Geçirdi