Son zamanlarda, Cyble’daki siber güvenlik araştırmacıları, özel Telegram kanallarında ayda 1.000 ABD dolarına satılan yeni bir macOS kötü amaçlı yazılımı olan ‘Atomic’ (diğer adıyla ‘AMOS’) keşfettiler.
Alıcılar, özellikle macOS sistemlerini hedeflemek ve aşağıdaki verileri çalmak üzere programlanmış 64 bit Go tabanlı kötü amaçlı yazılım içeren bir DMG dosyasını almak için yüksek bir bedel ödüyor:
- Anahtarlık şifreleri
- Yerel dosya sisteminden dosyalar
- şifreler
- Kurabiye
- Tarayıcılarda saklanan kredi kartları
- Eksiksiz sistem bilgisi
Bu macOS kötü amaçlı yazılımı, 50’den fazla popüler kripto para birimi uzantısından değerli verileri çalmaya çalışarak kripto para birimi kullanıcılarını hedef alacak şekilde de programlanmıştır.
Bu taktik, kripto para birimi kullanıcılarını yasa dışı faaliyetleri için kazançlı bir hedef olarak tanımlayan, bilgi çalan kötü amaçlı yazılımlar arasındaki rahatsız edici bir eğilimin parçası.
Ek hizmetler
Bunun dışında, bu bilgi hırsızının arkasındaki tehdit aktörlerinin, aktif olarak geliştirilmiş bir proje olarak işaretlenen bu bilgi hırsızını yeni özelliklerle sürekli geliştirdiği gözlemlenmiştir.
25 Nisan’da, kötü amaçlı yazılıma yönelik en son güncelleme bir Telegram gönderisinde gösterildi. Operatörler birkaç ek hizmet sunar ve aşağıda bunlardan bahsetmiştik:-
- Mağdurları yönetmek için web paneli
- Meta maske kaba kuvvet
- tohum çalmak
- Özel anahtarları çalmak
- Kripto denetleyicisi
- Dmg yükleyici
Teknik Analiz
MacStealer ile aynı tekniği benimseyen kötü amaçlı yazılım, Setup.dmg adlı imzasız bir disk görüntü dosyası olarak gizlenir.
Uygulamanın ardından, artırılmış ayrıcalıklar elde etmek ve yasa dışı faaliyetleri yürütmek için kurbandan sahte bir istemde sistem parolasını girmesini ister.
Kötü amaçlı yazılımın başlangıçta kullanıcılara nasıl teslim edildiği belirsizliğini koruyor. Yine de, kullanıcıları onu indirmeleri ve çalıştırmaları için kandırmak için orijinal yazılım kılığına girmiş olma olasılığı vardır.
24 Nisan 2023’te VirusTotal’a gönderilen Atomic hırsız yapısının adı “Notion-7.0.6.dmg”. Bu ad, kötü amaçlı yazılımın yaygın olarak kullanılan not alma uygulaması olarak dolaşıma girdiğini gösterir.
Tespit edilen diğer örneklerden aşağıda bahsetmiştik:-
- Photoshop CC 2023.dmg
- Tor Tarayıcı.dmg
Atomic macOS’u yüklerken Stealer kötü amaçlı yazılımı, sistem güvenlik açıklarından yararlanarak veya kimlik avı web sitelerinde barındırılarak ortaya çıkabilir.
Kötü amaçlı yazılım, sistem parolasını ele geçirmenin yanı sıra, parola yönetim aracını hedefleyen main_keychain() işlevinden yararlanarak kurbanın makinesinden hassas verileri alır.
Atomic operatörleri, yeteneklerini kullanarak kurbanın ‘Masaüstü’ ve ‘Belgeler’ dizinlerinden dosyaları doğrudan çalabilir.
Dosya çalma yeteneklerine rağmen, kötü amaçlı yazılımın bu dosyalara erişmek için izin istemesi gerekiyor ve bu da kurbanlara kötü amaçlı etkinlikleri tespit etme şansı veriyor.
Atomic macOS hırsızı, çalınan verileri ZIP’e sıkıştırır ve ardından Base64 biçimini kullanarak dışarı sızdırmadan önce kodlar. Hırsız, çalınan verileri iletişim yoluyla aşağıdaki C&C sunucusu URL’sine iletir:-
- hxxp[:]//amos-kötü amaçlı yazılım[.]ru/sendlog
macOS, kötü amaçlı bilgi hırsızlığı etkinliği açısından Windows kadar popüler olmasa da, her beceri düzeyindeki tehdit aktörleri giderek artan bir şekilde onu hedefliyor.
öneriler
Aşağıda, güvenlik uzmanlarının sunduğu önerilerden bahsetmiştik:-
- Yazılımı yalnızca resmi Apple App Store’dan indirdiğinizden emin olun.
- Tanınmış bir AV aracı kullanmalısınız.
- Kullanılmış veya açığa çıkmış parolaları kullanmayın.
- Daima güçlü ve benzersiz parolalar kullanın.
- Biyometrik güvenlik özelliklerini etkinleştirdiğinizden emin olun.
- Bilinmeyen bir göndericiden gelen e-postadaki ekleri veya bağlantıları açmayın.
- Sisteminizi ve cihazınızı her zaman güncel tutun.
Güvenlik Düzeltme Eki’ni Sisteminize Uygulamakta Zorlanıyor Musunuz? –
All-in-One Patch Manager Plus’ı Deneyin