Apple kullanıcılarını hedefleyen kötü şöhretli bir bilgi yönlendirme kötü amaçlı yazılım parçası olan Atomic MacOS Stealer (AMOS), ilk kez gömülü bir arka kapı getirerek önemli bir güncelleme geçirdi.
Moonlock tarafından bildirilen bu gelişme, Macpaw’ın siber güvenlik bölümü, kötü amaçlı yazılım yeteneklerinde kritik bir yükselişe işaret ediyor ve saldırganların tehlikeye atılmış MACOS sistemlerine kalıcı erişimi sürdürmesine izin veriyor.
MacOS kötü amaçlı yazılımlarda tehlikeli bir evrim
Daha önce, kripto para birimi ile ilgili tarayıcı uzantılarından ve cüzdanlardan veri açığa çıkmasına odaklanmasından farklı olarak, Amos artık uzaktan komut yürütme, tam kullanıcı düzeyinde erişim ve yeniden başlatmalardan sonra sistem kalıcılığını mümkün kılar.
Bu yükseltme, Amos’u macOS kullanıcıları için en tehlikeli tehditlerden biri olarak konumlandırıyor ve kampanyalar zaten ABD, Fransa, İtalya, İngiltere ve Kanada da dahil olmak üzere 120’den fazla ülkeyi kapsıyor.
Bir arka kapı eklenmesi, AMOS’u bir kerelik veri hırsızlığı aracından uzun vadeli gözetim ve sömürü için bir platforma dönüştürür.
Kötü amaçlı yazılım öncelikle çatlak veya sahte yazılıma barındıran web siteleri ve kripto para sahipleri gibi yüksek değerli bireyleri hedefleyen sofistike mızrak aktı kampanyaları aracılığıyla dağıtılır.
Veri hırsızlığından tam sistem uzlaşmasına kadar
Enfeksiyon süreci genellikle iş görüşmeleri gibi meşru süreçleri taklit eder, kurbanları sistem şifrelerine girmeye kandırır.
Yürütüldükten sonra Amos, MACOS-O ikili, bash komut dosyaları ve Applescript kullanarak MacOS Gatekeeper korumalarını atlayan bir Trojanize DMG dosyasını dağıtır.
İlk veri hırsızlığının ötesinde, arka kapı Launchdaemon PLIST dosyaları gibi kalıcılık mekanizmaları yoluyla oluşturulur ve kötü amaçlı yazılım sisteminin yeniden başlatılmalarını sağlar.
“.Helper” olarak gizlenen ve bir “.Agent” komut dosyası tarafından desteklenen arka kapı, görevleri almak, kabuk komutlarını yürütmek veya Kuzey Kore saldırısı stratejilerinde görülen taktikleri yansıtmak için komut ve kontrol (C2) sunucularıyla iletişim kurar.
Veri eksfiltrasyonu, belirli IP adreslerine HTTP post istekleri üzerinde gerçekleşirken, Keylogging gibi yeni özelliklerin testte olduğu ve tehdidin potansiyelini daha da genişlettiği bildiriliyor.
Kuzey Koreli kampanyalardan sonra macOS’u hedefleyen küresel olarak ölçeklendirilmiş bir arka kapının sadece ikinci örneği olduğuna inanılan bu güncelleme, orijinal Rusya’ya bağlı AMOS geliştiricileri veya kodu değiştiren diğer aktörler tarafından niyette bir değişim anlamına geliyor.
Aktif C2 altyapısı, kötü niyetli yükler getiren URL’lerle birlikte (örn. Isnimitz’den[.]com), kampanyanın tam hızda olduğunu gösterir.
Moonlock, Hizmet Olarak Kötü Yazılım (MAAS) modelinin daha fazla varyantlara yol açabileceği, kaçırma tekniklerini ve sömürü fırsatlarını artırabileceği konusunda uyarıyor.
MAC kullanıcıları için risk artık sistem uzlaşmasını tamamlamak için çalınan kimlik bilgilerinin ötesine uzanıyor ve AMOS’u gömülmeden önce tespit etmek ve engellemek için anti-kötü amaçlı araçlar gibi sağlam savunmaları gerektiriyor.
Uzlaşma Göstergeleri (IOCS)
| Tip | Değer |
|---|---|
| IP adresi | 45.94.47.158 |
| IP adresi | 45.94.47.157 |
| IP adresi | 45.94.47.146 |
| IP adresi | 45.94.47.147 |
| IP adresi | 45.94.47.145 |
| Url | http://45.94.47.147/contact |
| Url | http://45.94.47.145/contact |
| Url | http://45.94.47.146/contact |
| Url | http://45.94.47.147/api/tasks/ |
| SHA256 | 8d8b40e87d3011de5b33103df2ed4ec81458b2a2f8807fb7fdbc351c7c7b5e |
| SHA256 | 3402883ff6efadf0cc8b7434a0530fb769de5549b0e9510ddddd23bc0689670d6 |
Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.