RustDoor macOS Backdoor, Kripto Para Firmalarını Sahte İş Teklifleriyle Hedefliyor
Kripto para sektöründe faaliyet gösteren birden fazla şirket, kod adı RustDoor olan yeni keşfedilen bir Apple macOS arka kapısını içeren devam eden bir kötü amaçlı yazılım kampanyasının hedefidir.
RustDoor ilk olarak geçen hafta Bitdefender tarafından belgelendi ve onu dosya toplayıp yükleyebilen ve virüslü makineler hakkında bilgi toplayabilen Rust tabanlı bir kötü amaçlı yazılım olarak tanımladı. Kendisini bir Visual Studio güncelleştirmesi gibi göstererek dağıtılır.
Önceki kanıtlar arka kapının en az üç farklı varyantını ortaya çıkarmış olsa da, kesin ilk yayılma mekanizması bilinmiyordu.
Bununla birlikte, Rumen siber güvenlik firması daha sonra yaptığı açıklamada, kötü amaçlı yazılımın bir av tüfeği dağıtım kampanyasından ziyade hedefli bir saldırının parçası olarak kullanıldığını ve RustDoor'un indirilmesinden ve yürütülmesinden sorumlu ek eserler bulduğunu belirtti.
Bitdefender'da tehdit araştırma ve raporlama direktörü Bogdan Botezatu, "Bu ilk aşama indiricilerden bazıları, iş teklifleri içeren PDF dosyaları olduğunu iddia ediyor, ancak gerçekte, kötü amaçlı yazılımı indirip yürütürken aynı zamanda kendisini bir gizlilik sözleşmesi olarak faturalandıran zararsız bir PDF dosyasını indirip açan komut dosyalarıdır" dedi.
O zamandan beri, her biri bir iş teklifi olduğu iddia edilen ilk aşama yükleri olarak hareket eden üç kötü amaçlı örnek daha gün ışığına çıktı. Bu ZIP arşivleri, önceki RustDoor ikili dosyalarından yaklaşık bir ay öncesine dayanıyor.
Saldırı zincirinin yeni bileşeni – yani arşiv dosyaları ("Jobinfo.app.zip" veya "Jobinfo.zip") – implantı turkishfurniture adlı bir web sitesinden almaktan sorumlu olan temel bir kabuk komut dosyası içerir[.] blogu. Ayrıca, dikkat dağıtıcı olarak aynı sitede barındırılan zararsız bir sahte PDF dosyasını ("job.pdf") önizlemek için tasarlanmıştır.
Bitdefender ayrıca, aktör tarafından kontrol edilen bir etki alanıyla iletişim kuran dört yeni Golang tabanlı ikili dosya tespit ettiğini söyledi ("sarkerrentacars[.] com"), amacı "macOS işletim sisteminin bir parçası olan system_profiler ve Networksetup yardımcı programlarını kullanarak kurbanın makinesi ve ağ bağlantıları hakkında bilgi toplamak.
Ek olarak, ikili dosyalar, "diskutil list" aracılığıyla diskle ilgili ayrıntıları çıkarabilir ve "sysctl -a" komutunu kullanarak geniş bir çekirdek parametreleri ve yapılandırma değerleri listesi alabilir.
Komuta ve kontrol (C2) altyapısının daha yakından araştırılması, virüslü ana bilgisayarın kaydedildiği ve son etkinliğin gözlemlendiği zaman damgaları da dahil olmak üzere, şu anda enfekte olmuş kurbanlar hakkında ayrıntıları toplamayı mümkün kılan sızdıran bir uç nokta ("/client/bots") ortaya çıkardı.
Botezatu, "Şimdiye kadar en az üç kurban şirket olduğunu biliyoruz" dedi. "Saldırganlar üst düzey mühendislik personelini hedef alıyor gibi görünüyor ve bu, kötü amaçlı yazılımın neden bir Visual Studio güncellemesi olarak gizlendiğini açıklıyor. Bu noktada güvenliği ihlal edilen başka şirketler olup olmadığını bilmiyoruz, ancak yine de bunu araştırıyoruz."
"Kurbanların gerçekten coğrafi olarak bağlantılı olduğu görülüyor - kurbanlardan ikisi Hong Kong'da, diğeri ise Nijerya'nın Lagos kentinde."
Gelişme, Güney Kore Ulusal İstihbarat Servisi'nin (NIS), Kuzey Kore İşçi Partisi'nin 39 No'lu Ofisi'ne bağlı bir BT kuruluşunun, şüphelenmeyen kumarbazlardan hassas verileri çalmak için diğer siber suçlulara binlerce kötü amaçlı yazılım yüklü kumar web sitesi satarak yasa dışı gelir elde ettiğini ortaya çıkarmasıyla geldi.
Yonhap Haber Ajansı'nın bildirdiğine göre, hizmet olarak kötü amaçlı yazılım (MaaS) planının arkasındaki şirket, Dandong merkezli 15 üyeli bir kuruluş olan Gyeongheung'dur (Gyonghung olarak da yazılır), kimliği belirsiz bir Güney Koreli suç örgütünden tek bir web sitesi oluşturma karşılığında 5.000 dolar ve web sitesini sürdürmek için ayda 3.000 dolar aldığı iddia edilir.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Amaçlı NPM Paketleri, SSH Arka Kapısı ile Geliştiricilerin Ethereum Cüzdanlarını Hedef Alıyor
Binance, Kripto Para Kullanıcılarını Hedef Alan Artan Clipper Kötü Amaçlı Yazılım Saldırılarına Karşı Uyardı
Rust Tabanlı P2PInfect Botnet, Madenci ve Fidye Yazılımı Yükleriyle Gelişiyor
ABD, Rusya'nın Yaptırımlardan Kaçmasına Yardım Ettiği İçin 3 Kripto Para Borsasına Yaptırım Uyguladı
Yeni Kimlik Avı Kiti, Kripto Para Birimi Kullanıcılarını Hedeflemek için SMS ve Sesli Aramalardan Yararlanıyor
Kuzey Koreli Bilgisayar Korsanları Kötü Amaçlı NPM Paketleriyle Geliştiricileri Hedef Alıyor
RustDoor macOS Backdoor, Kripto Para Firmalarını Sahte İş Teklifleriyle Hedefliyor
BTC-e ile Bağlantılı Belarus Vatandaşı 4 Milyar Dolarlık Kripto Para Aklama Suçundan 25 Yıl Hapis Cezasıyla Karşı Karşıya