Kötü şöhretli Atomik MacOS Stealer (AMOS) kötü amaçlı yazılım, dünya çapında MAC kullanıcıları için tehdidi önemli ölçüde artıran tehlikeli bir yükseltme aldı.
İlk kez, bu Rusya’ya bağlı stealer gömülü bir arka kapı ile konuşlandırılıyor ve saldırganların uzlaşmış sistemlere kalıcı erişimi sürdürmesine, uzaktan komutları yürütmesine ve kurban makineleri üzerinde uzun vadeli kontrol oluşturmasına izin veriyor.
Bu, ortaya çıkmasından bu yana Amos’un en önemli evrimini temsil eder ve bir zamanlar “şut ve grab” veri hırsızlığı aracını sürekli gözetim ve sistem uzlaşması için bir platforma dönüştürür.
MacPaw’ın Güvenlik Bölümü Moonlock’taki siber güvenlik araştırmacılarına göre, bu, Kuzey Koreli tehdit aktörleri tarafından kullanılan benzer taktikleri takip ederek macOS kullanıcılarını küresel ölçekte hedefleyen bilinen ikinci arka kapı konuşlandırma durumunu işaret ediyor.
Kötü amaçlı yazılım kampanyaları, en çok etkilenen bölgeler arasında ABD, Fransa, İtalya, Birleşik Krallık ve Kanada ile 120’den fazla ülkeye sızmıştır.
Amos’un geri yüklenen versiyonu, saldırganlara dünya çapında binlerce MAC cihazına tam erişim sağlamakla tehdit ediyor.
Teknik sofistike ve saldırı vektörleri
Yükseltilmiş AMOS iki temel dağıtım yöntemi kullanır: çatlak veya sahte yazılım sunan web siteleri ve özellikle kripto para birimi sahiplerini, özellikle kripto para sahiplerini hedefleyen sofistike mızrak aktı kampanyaları.
Mızrak-akma saldırıları genellikle sahnelenmiş iş görüşmeleri olarak maskelenir, tipik olarak görüşmeler için ekran paylaşımı sağlama kisvesi altında sistem şifreleri sağlamaları istenen sanatçıları ve serbest çalışanları hedefler.
Uygulandıktan sonra, kötü amaçlı yazılım, truva atma DMG dosyası, bash ambalaj komut dosyaları ve macOS bekçi koruyucu korumalarını atlamak için tasarlanmış terminal takma adlar da dahil olmak üzere karmaşık bir bileşen zinciri boyunca kalıcılık oluşturur.
Arka kapı, IP adreslerinde bulunan komut ve kontrol sunucuları ile iletişimi sürdürür 45.94.47.145 ve 45.94.47.147, yeni görevler ve komutlar almak için her 60 saniyede bir HTTP posta istekleri gönderir.
Amos Tehdit Grubu, MacOS saldırılarında stealers ile başarılı bir şekilde birleştiren Kuzey Kore siber suçluların öncülüğünü izliyor gibi görünüyor.
Bununla birlikte, Kuzey Koreli gruplar tipik olarak hızlı kripto para hırsızlığına odaklanırken, Amos Backdoor uzun vadeli kalıcılık ve genişletilmiş sistem uzlaşması için tasarlanmıştır.
Kötü amaçlı yazılım, arka kapıdan kurtulmaların sistem yeniden başlatmalarını sağlayan “com.finder.helper” etiketi ile bir LaunchDaemon oluşturur.
Gizli işlemleri sürdürmek ve algılamadan kaçmak için “.Helper” ve “.Agent” adlı gizli dosyaları kullanarak çok katmanlı bir yaklaşım kullanır.
Güvenlik araştırmacıları, 2024’ün başından beri benzersiz Amos ikili örneklerinde hızlı bir artış gözlemlediler ve aktif geliştirme ve konuşlandırmayı gösterdi.
Hizmet Olarak Kötü Yazılım (MAAS) endüstrisinin büyümesi, güncellenmiş atomik macOS stealer’ın daha fazla varyantının ortaya çıkacağını ve tespit kaçma ve sistem penetrasyonu için gelişmiş yeteneklerle ortaya çıkacağını göstermektedir.
Koruma ve Öneriler
AMOS’un basit bir veri stealer’dan kalıcı bir arka kapıya evrimi, kurbanlara yönelik riski önemli ölçüde artırarak bir kerelik ihlalleri uzun vadeli uzlaşmalara dönüştürür.
Güvenlik uzmanları, MAC kullanıcılarının ek kötü amaçlı yazılım önleyici yazılımlar kullanmasını, sosyal mühendislik taktiklerine karşı uyanık kalmasını ve hedeflenen saldırılara maruz kalmayı en aza indirmek için dijital ayak izlerini azaltmasını önermektedir.
Siber güvenlik topluluğu, AMOS operasyonlarını izlemeye devam ediyor ve araştırmacılar, güvenlik ekiplerinin dünya çapında macOS kullanıcılarına bu gelişen tehditlere karşı savunma önlemlerini güncellemelerine yardımcı olmak için tehdit istihbaratını paylaşıyor.
Özel Web Semineri Uyarısı: Gelişmiş API Güvenliği İçin Intel® İşlemci Yeniliklerini Koşullandırma – Ücretsiz Kayıt