Amos MacOS Stealer, GitHub’da Gelişmiş Gizleme Yöntemleri Kullanarak Gizleniyor
Amos MacOS Stealer’ın sofistike yeni bir varyantı ortaya çıktı ve dağıtım ve gizleme yöntemlerinde eşi görülmemiş düzeyde teknik karmaşıklık gösterdi.
.png
)
Kötü amaçlı yazılım, GitHub depolarını dağıtım platformları olarak kullanır ve platformun güvenlik önlemlerini atlamak ve şüphesiz MACOS kullanıcılarını kripto para birimi hırsızlığı yetenekleriyle hedeflemek için meşruiyetinden yararlanır.
.webp)
En son kampanya, GitHub depolarında barındırılan ve özellikle meşru uygulamalar arayan kullanıcıları hedefleyen kötü amaçlı DMG dosyalarıyla başlayan çok katmanlı bir saldırı zinciri içerir.
.webp)
Kötü amaçlı yazılım, geleneksel güvenlik çözümleri tarafından tespitten kaçınmak için birden fazla Base64 kodlama, XOR şifreleme ve özel alfabeler dahil olmak üzere gelişmiş gizleme teknikleri kullanır.
Yürütücü yürütüldükten sonra, farklı MAC mimarilerinde uyumluluk sağlamak için hem x64 hem de ARM64 sürümlerini dağıtır.
Bir kötü amaçlı yazılım araştırmacısı olan Jason Reaves, Walmart’ın ters mühendis olan Crumaware tehdidi Intel, son Amos etkinliklerini izlerken bu sofistike kampanyayı belirledi.
Analizi, kötü amaçlı yazılım örneğinin 9f8c5612c6bfe7ab528190294a9d5eca9e7dec3a7131463477ae103aeec5703b MacOS kötü amaçlı yazılım kampanyalarında daha önce görülmemiş ileri kaçış tekniklerini içeren tehdidin yeteneklerinde önemli bir evrimi temsil eder.
Saldırı vektörü öncelikle kripto para birimi cüzdan kullanıcılarına odaklanıyor ve kötü amaçlı yazılımlar Ledger gibi meşru uygulamalar olarak tohum ifadeleri ve özel anahtarlar çalmak için canlı.
Kampanya, GitHub’ın güvenlik ekipleri tarafından önceki olanlar kaldırıldığında tehdit aktörleri hızla yeni depolar kurarak dikkate değer bir kalıcılık gösteriyor.
Bu kedi ve fare dinamiği, platform sağlayıcılarının meşru hizmetleri kötü niyetli amaçlarla kötüye kullanan sofistike tehdit aktörleriyle mücadelede karşılaştıkları zorlukları vurgular.
**Gelişmiş Gizleme ve Kod Çözme Mekanizmaları**
Bu Amos varyantının teknik karmaşıklığı, üç farklı kod çözme katmanı içeren çok aşamalı gizleme sürecinde yatmaktadır.
İlk yük, baz64 kod çözmeye ve ardından sabit kodlu tuşları kullanarak XOR işlemlerine maruz kalan gizlenmiş bir kabuk komut dosyası içerir.
Deobfuscation işlemi, birincil yükü yürütmeden önce “yastık kilidi” içeren monte edilmiş hacimleri arayan bir Applescript bileşenini ortaya çıkarır.
Çekirdek kod çözme algoritması, eşit boyutlu veri bloklarının matematiksel işlemlere maruz kaldığı sofistike üç blok sistem uygular.
Algoritma, çıkarma kodunda gösterildiği gibi, çıkarma ve XOR işlemleri yoluyla her çift kelimeyi (DWORD) işler: a = (a – d) & 0xffffffff; a ^= c.
Bu matematiksel yaklaşım özel bir Base64 alfabesi üretir xtk1IbLCo9pQgDwBKNl_Pa*Z-J40zOiEr&5n8s=R!dAG%$ used for subsequent payload decoding.
Kötü amaçlı yazılımların kalıcılık mekanizması, .touchlock Kullanarak genişletilmiş öznitelikleri kaldırarak geçici dizine dosya dosyası xattr -c ve yüksek izinlerle yürütme.
Komut ve Kontrol İletişimleri, dahil olmak üzere birden çok etki alanı kullanır. heathlypet[.]com- isnimitz[.]com ve yayılan birkaç IP adresi 45.94.47[.]136 ve 85.192.49[.]118.
Bu dağıtılmış altyapı yaklaşımı, tek tek düğümler tehlikeye girdiğinde veya çevrimdışı olsa bile operasyonel sürekliliği sağlar.
**Kaynak Bağlantı**: [Source link](https://cybersecuritynews.com/amos-macos-stealer-hides-in-github/)