Atomik MacOS Stealer uzaktan erişim arka kapı ile yükseltildi

Apple’ın macOS ekosistemini hedefleyen kötü şöhretli bir Infostealer kötü amaçlı yazılım olan Atomic MacOS Stealer (AMOS), enfekte olmuş sistemlerde kalıcı erişimi ve uzaktan komut yürütmeyi kolaylaştıran sofistike bir arka kapı mekanizması ekleyerek önemli bir yükseltme geçirdi.

Macpaw’ın siber güvenlik kolu olan Moonlock Lab tarafından yakın tarihli bir raporda ayrıntılı olan bu geliştirme, AMOS’u sadece veri ekleme aracından tam teşekküllü bir uzaktan erişim Trojan’a (sıçan) dönüştürüyor.

Daha önce kripto para birimi cüzdanı kimlik bilgileri, tarayıcı otomatik doldurma verileri ve anahtarlık şifreleri gibi hassas bilgilerin hasat edilmesine odaklanmıştır, Amos artık saldırganların uzun vadeli kontrolü sürdürebilmesini, sistem yeniden başlatmalarını sağlayabilmesini ve ek yüklerin dağıtımını sağlayabilmesini sağlar.

Bu evrim, AMOS’u hızlı bir şekilde pespiltrasyon ve gözetim için arka fırçalarla harmanlayan Kuzey Koreli kampanyaları anımsatan gelişmiş kalıcı tehdit (APT) taktikleri ile hizalar.

Kalıcı bir tehdide evrim

Bununla birlikte, Amos’un Rusya’ya bağlı geliştiricileri, potansiyel olarak anahtarlık, ağ yanal hareketi ve devam eden casusluk için sürekli kalıcılığa öncelik veriyor gibi görünüyor.

Hizmet olarak kötü amaçlı yazılım (MAAS) teklifi olarak dağıtılan Amos, 120’den fazla ülkede, ABD, Birleşik Krallık, Fransa, İtalya ve Kanada’da artan faaliyetlere sahip sistemleri tehlikeye atmıştır.

Polyswarm’daki analistler, gelişen bir tehdit olarak sınıflandırıyor ve büyüyen sofistike olmasına karşı sağlam bir son nokta tespiti ve yanıt (EDR) çözümlerine duyulan ihtiyacın altını çiziyor.

Özünde, Amos Backdoor, gizlilik ve kalıcılık için macOS’a özgü özelliklerden yararlanır.

Enfeksiyon üzerine, kötü amaçlı yazılım, gizli bir ikili olarak dağıtır .helper Kullanıcının ana dizininde, bir sarıcı komut dosyası eşliğinde .agent bu sürekli infazını düzenler.

Teknik uygulama

Önyükleme zamanı kalıcılığı elde etmek için Amos com.finder.helper çalınan kullanıcı kimlik bilgileri aracılığıyla elde edilen yüksek ayrıcalıklarla yürütülen Applescript aracılığıyla.

Bu kurulum, arka kapının 60 saniyede bir HTTP Post istekleri aracılığıyla komut ve kontrol (C2) sunucularını anket yapmasına, uzaktan komut yürütme, dosya manipülasyonu veya daha fazla kötü amaçlı yazılım dağıtımı için görevler getirmesine izin verir.

Kaçınma teknikleri integral: Amos, statik analizi engellemek için dize gizleme kullanıyor ve system_profiler Ters mühendislik sırasında algılamayı önlemek için bu tür koşullar tespit edilirse, işlemleri iptal eden kum havuzu veya sanal makine ortamlarını tespit etme komutu.

Dağıtım öncelikle iki vektör aracılığıyla gerçekleşir: genellikle kripto para birimi meraklılarını ve dijital sanatçılar gibi serbest çalışanları hedefleyen mızrak aktı kampanyaları ve çatlak veya sahte yazılımlara ev sahipliği yapan web siteleri.

Rapora göre, kimlik avı meşru iş görüşmelerini taklit ederek kurbanları, ekran paylaşım araçlarını etkinleştirme kisvesi altında sistem şifreleri isteyen truva atma DMG dosyaları kurmaya teşvik ediyor.

Bir kez yürütüldükten sonra, Amos sadece tohum cümleleri ve şifreler gibi verileri de yaymakla kalmaz, aynı zamanda uzun süreli erişim için arka kapıyı da gömer.

Tek seferlik hırsızlıktan kalıcı uzlaşmaya geçiş riskleri güçlendirerek saldırganların sürveyans yapmasını, fidye yazılımı veya işletme ağlarına pivot kullanmalarını sağlıyor.

AMOS, yaklaşmakta olan anahtarlık özellikleri söylentileri ile yinelemeye devam ettikçe, MacOS kullanıcıları davranış tabanlı izleme, düzenli yazılım güncellemeleri ve istenmeyen indirmelerle dikkatli olmak gibi proaktif savunmaları benimsemelidir.

Kötü amaçlı yazılımların küresel erişimi ve teknik iyileştirmeleri bunu kritik bir tehdit olarak konumlandırır, genellikle doğal olarak güvenli olarak algılanan bir ekosistemde artan uyanıklık talep eder.

Uzlaşma Göstergeleri (IOCS)

Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!