Araştırmacılar macOS’u Hedefleyen İlk Büyük Fidye Yazılımını Keşfetti



Kötü şöhretli LockBit fidye yazılımı çetesi, macOS cihazları için kötü amaçlı yazılımlarının bir sürümünü geliştirdi; bu, büyük bir fidye yazılımı grubu tarafından Apple topraklarına ilk kez yapılan baskın.

LockBit, yüksek profilli saldırılar, karmaşık kötü amaçlı teklifler ve bazı A sınıfı PR’deki gelişimiyle bilinen, dünyanın en verimli hizmet olarak fidye yazılımı (RaaS) operasyonlarından biridir.

Çetenin macOS ile deneyler yaptığına dair ilk kanıt, 15 Nisan’da MalwareHunterTeam fidye yazılımı deposu tarafından yayınlandı. okunan tweet“Bu, Apple’ın Mac cihazlarını hedef alan LockBit fidye yazılımı örneği görülen ilk yapısı… Ayrıca bu ‘büyük isim’ çeteleri için bir ilk mi?”

Kısa bir süre sonra, bir kötü amaçlı yazılım araştırma sitesi olan vx-underground, hikayeye bir kıvrım ekledi. “Maça geç kaldık” tweet attı. “macOS varyantı, 11 Kasım 2022’den beri mevcut.”

Mac için fidye yazılımı alarm zillerini çalabilir, ancak ikili dosyanın daha yakından incelenmesi, prime time için tam olarak hazır olmadığını ortaya çıkarır.

Objective-See Foundation’ın kurucusu Patrick Wardle, Dark Reading’e “Şimdilik, kuruluştaki ortalama bir Mac kullanıcısı üzerindeki etki temelde sıfır,” dedi. 16 Nisan’da yayınlanan bir analizde bir örneği parçalara ayırdı.

Ancak şunu da ekliyor: “Bence bu, gelecek şeylerin habercisi olarak görülmeli. Çok iyi finanse edilmiş ve motive olmuş, ‘Hey, gözlerimizi macOS’a dikiyoruz’ diyen büyük bir fidye yazılımı grubunuz var. “

Mac kullanıcıları, fidye yazılımı nihayet onlar için geldiğinde hazır olacak mı?

Mac’te LockBit

Cumartesi günkü keşif en iyi şekilde, macOS rujlu Windows kötü amaçlı yazılımı olarak tanımlanabilir.

Kodu açarken Wardle, Windows yapılarıyla ilgili autorun.inf, ntuser.dat.log vb. gibi birden çok dizi keşfetti. İşletim sistemi niyetlerini gösteren tek bileşen, “apple_config” adlı bir değişkendi.

Wardle analizde “Bu, herhangi bir macOS’a özgü referansların/özelleştirmelerin tek örneği (buldum)” dedi ve ekledi: “(Kötü amaçlı yazılımın ikili dosyasının geri kalanı, macOS için derlenmiş Linux kodu gibi görünüyor).

Geliştiricilerin projelerini henüz tamamlamadığına dair başka işaretler de vardı. Örneğin, kod, örneğin çalınan bir Apple Developer ID’nin vekili olan “geçici” olarak imzalandı. Bu, gelecekteki RaaS müşterileri için bir yer tutucu olabilir, ancak Wardle şu an için “bu, bir macOS sistemine indirilirse (yani saldırganlar tarafından dağıtılırsa) macOS’un çalışmasına izin vermeyeceği anlamına gelir” diye açıklıyor.

Söylemek yeterli: LockBit henüz Apple barajını aşmadı. Ancak bu, Mac kullanıcılarının rahatlayabileceği anlamına gelmez.

Fidye Yazılımı Mac’lere Yöneliyor

Conti, Clop, Hive ve diğerleri gibi ünlü fidye yazılımı gruplarından biri daha önce hiç Mac bilgisayarlar için fidye yazılımı geliştirmemişti. Bunun her şeyden önce bir nedeni olabilir.

Wardle, “Geleneksel olarak, büyük fidye yazılımı saldırılarının hedeflerinin kimler olduğuna bakın. Kuruluşlar: hastaneler, paketleme tesisleri, bu daha geleneksel şirketler,” diye belirtiyor Wardle. “Genellikle Windows tabanlıdırlar.”

Ancak yavaş yavaş, Apple cihazları kurumsal ortamlarda yaygınlaşıyor. JAMF’nin 2021 anket verileri, Apple’ın tabletlerinin işletmeler için ilk tercih olduğunu, iPhone’ların iş ortamlarındaki tüm akıllı telefonların yaklaşık yarısını temsil ettiğini ve kuruluştaki macOS cihazlarının “ortalama penetrasyonunun”, önceki yıl ile karşılaştırıldığında %23 civarında olduğunu gösterdi. İki yıl önce %17.

Wardle, “Pandemi ve evden çalışma bunu gerçekten teşvik etti” diyor. “Pek çok kişinin Mac bilgisayarı var. Ve genç nesil iş gücüne katıldıkça, Apple ekosistemiyle daha rahatlar.”

Bunu takiben, “çok fırsatçı bilgisayar korsanları, potansiyel kurbanlarının çoğunun artık geçiş yaptığını ve bu nedenle kötü niyetli yaratımlarını geliştirmeleri gerektiğini fark ediyorlar” diye ekliyor.

Dolayısıyla asıl soru, fidye yazılımı gruplarının macOS’a geçip geçmeyeceği değil, ne kadar yakında olacağı olabilir. “Bu,” diye düşünüyor Wardle, “gerçekten milyon dolarlık soru.”

Apple Cihazları Fidye Yazılımlarına Hazır mı?

Neyse ki Mac kullanıcıları için, Apple bu fidye yazılımı D-Day’i önceden tahmin etti ve proaktif olarak bunun önüne geçti. Wardle, işletim sisteminde zaten yerleşik olan iki birincil savunmaya işaret ediyor.

İlk olarak, “sistem dosyaları salt okunur koşullar altındadır. Bu nedenle, fidye yazılımı bir bilgisayarda root erişimi elde etse bile, yine de bu kritik dosyaları değiştiremeyecek ve sistemi kilitleyemeyecek veya çalışmaz hale getiremeyecektir.”

İkincisi, TCC’dir – Şeffaflık, Rıza ve Kontrol’ün kısaltmasıdır.

“Fikir şu ki, belirli dizinler – örneğin, kullanıcının belge dizini, masaüstü, indirilenler, tarayıcı klasörleri ve tanımlama bilgileri aslında işletim sistemi tarafından korunuyorlar,” diye açıklıyor Wardle. Fidye yazılımı sisteme girerse, “TCC’ye girecek ve şifrelemek istediği dosyalara başka bir açıktan yararlanma veya başka bir açıktan yararlanma olmadan erişemeyecek. kullanıcı, erişimi açıkça onaylamalıdır.”

Yine de bu mutlu haberin bir uyarısı var. “Apple, güvenlik mekanizmalarını uygulamakta harika bir iş çıkardı, ancak” diye uyarıyor Wardle, “bu özellikler henüz gerçekten denenip test edilmedi. Belki bilgisayar korsanları kurcalamaya başlar ve bazı kusurlar bulur. Örneğin, TCC baypaslarla dolu. temelde ilk günden beri.”

“Saldırganların tekniklerini geliştirmeyeceklerini ve daha etkili fidye yazılımları yaratmayacaklarını düşünmek saflık olur,” diye bitiriyor sözlerini. “Bence şimdi bunun hakkında konuşuyor olmak gerçekten harika.”





Source link