Mac Kullanıcıları Dikkat: Korsan Yazılım Yoluyla Yayılan Yeni Trojan-Proxy Kötü Amaçlı Yazılımı

Kaspersky güvenlik araştırmacısı Sergey Puzan, "Saldırganlar, bir proxy sunucu ağı kurarak para kazanmak veya kurban adına suç eylemleri gerçekleştirmek için bu tür kötü amaçlı yazılımları kullanabilir: web sitelerine, şirketlere ve bireylere saldırılar başlatmak, silah, uyuşturucu ve diğer yasa dışı malları satın almak için" dedi.

Rus siber güvenlik firması, Windows ve Android için ortaya çıkarılan ve korsan araçlara dayanan eserler nedeniyle kötü amaçlı yazılımın platformlar arası bir tehdit olduğunu gösteren kanıtlar bulduğunu söyledi.

macOS varyantları, meşru multimedya, görüntü düzenleme, veri kurtarma ve üretkenlik araçları kisvesi altında yayılır. Bu, korsan yazılım arayan kullanıcıların kampanyanın hedefi olduğunu gösteriyor.

Disk görüntüsü olarak sunulan orijinal, değiştirilmemiş muadillerinin aksine (. DMG) dosyaları, hileli sürümler şeklinde teslim edilir. Yükleme sonrası kötü amaçlı davranışı etkinleştiren bir yükleme sonrası komut dosyasıyla donatılmış olarak gelen PKG yükleyicileri.

Puzan, "Bir yükleyici genellikle çalışmak için yönetici izinleri istediğinden, yükleyici işlemi tarafından çalıştırılan komut dosyası bunları devralır" dedi.

Kampanyanın nihai amacı, tespit edilmekten kaçınmak için kendisini macOS'ta WindowServer işlemi olarak maskeleyen Trojan-Proxy'yi başlatmaktır. WindowServer, pencere yönetiminden ve uygulamaların grafik kullanıcı arayüzünü (GUI) oluşturmaktan sorumlu bir çekirdek sistem işlemidir.

Başladıktan sonra, HTTPS protokolünü kullanarak DNS isteklerini ve yanıtlarını şifreleyerek HTTPS üzerinden DNS (DoH) aracılığıyla bağlanmak için komut ve kontrol (C2) sunucusunun IP adresini almaya çalışır.

Trojan-Proxy daha sonra C2 sunucusuyla iletişim kurar ve bağlanılacak IP adresini, kullanılacak protokolü ve gönderilecek mesajı ayrıştırmak için gelen mesajların işlenmesi de dahil olmak üzere daha fazla talimat bekler ve trafiği virüslü ana bilgisayar üzerinden yönlendirmek için TCP veya UDP aracılığıyla bir proxy görevi görme yeteneğinin sinyalini verir.

Kaspersky, 28 Nisan 2023 gibi erken bir tarihte VirusTotal tarama motoruna yüklenen kötü amaçlı yazılım örneklerini bulduğunu söyledi. Bu tür tehditleri azaltmak için, kullanıcıların güvenilmeyen kaynaklardan yazılım indirmekten kaçınmaları önerilir. 

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği