JAMF tehdit laboratuvarları, Python komut dosyalarını bağımsız Mach-O yürütülebilir ürünlere paketlemek için kullanılan meşru bir açık kaynaklı araç olan Pyinstaller’ı kullanan yeni bir MacOS Infostealer’ı belirledi.
Bu, Pyinstaller’in ilk belgelenmiş örneğini, macOS’a infosterers dağıtmak için silahlandırılmış ve Apple’ın ekosistemini hedefleyen siber suçluların taktiklerinde sofistike bir evrimi vurgulamaktadır.
Nisan 2025’te, Virustotal’da Ocak 2025’e kadar uzanan numunelerle keşfedilen bu kötü niyetli yürütülebilir ürünler, MacOS 12.3’teki elma kaldırılmış sistem Python’dan bu yana doğal bir Python kurulumu olmadan çalışmaya izin veren Pyinstaller’in sorunsuz yürütme yeteneklerinden yararlanarak geleneksel tespit mekanizmalarını atlar.
.png
)
JAMF Tehdit Laboratuarları tarafından ortaya çıkarılan yeni tehdit
‘STL’ olarak adlandırılan birincil örnek, hem x86_64 hem de ARM64 mimarilerini destekleyen bir Mach-O Universal ikilidir, statik analiz yoluyla teyit edildi codesign (Ad-hoc imzalamayı açıklamak) ve file.
Pyinstaller kökleri, ‘_meipass’ gibi belirli dizelerle belirgindir. strings Ve grepçalışma zamanında ekstrakte edilen gömülü bir arşivin geçici bir ‘_meixxxxxx’ dizinini gösteren.
Bu dizin, kötü niyetli mantık yürütmek için PyinStaller’ın önyükleyicisi tarafından düzenlenen Python bayt kodu (.pyc dosyaları), kütüphaneler ve paylaşılan bağımlılıklar bulunur.
Kırmızı Canary Mac Monitor gibi araçların desteklendiği dinamik analiz, kullanıcı şifrelerini zorlayan Applescript iletişim kutuları, sistem hacmi sessizleştirme ve Grand-flash gibi alanlara veri açığa çıkma dahil olmak üzere hain davranışları ortaya çıkardı.[.]com/connect.
‘_Pyi_application_home_dir’ gibi ortam değişkenleri Pyinstaller’ın çalışma zamanı çıkarma işlemini daha da doğruladı.
Pyinstxtractor ve pylingual açığa çıkmış python kodu, dize tersine çevirme, base85 kodlama, xor şifreleme ve zlib sıkıştırma, gizleme fonksiyonları gibi araçlarla ayrıştırma, GetPasswordModal()– DumpKeychain()Ve CollectCryptowallets()-Tüm kimlik bilgilerini ve kripto para birimi varlıklarını toplamak için tasarlanmıştır.
Kötü amaçlı yazılımların operasyonlarının teknik diseksiyonu
Bu saldırının yaratıcılığı, Pyinstaller arşivinin sadece ARM64 diliminde (8MB) bulunduğu yağ ikilisinin yapısal manipülasyonunda yer alırken, Intel dilimi (70KB) eksiktir, ikincisini tam ikili olmadan işlevsiz hale getirir.
Bu gizli, yürütme sırasında geçici dosya çıkarma ve silme ile birleştiğinde, tespiti karmaşıklaştırır.
JAMF’nin analizi, saldırganların güvenlikten kaçınmak için sürekli yenilik yaptıkları için macOS’ta artan bir infosterer eğiliminin altını çiziyor.
Pyinstaller’dan yararlanarak, sadece mimari uyumluluğu sağlamakla kalmaz, aynı zamanda sistem kaynaklarına bağımlılığı azaltmak, tehdidin erişimini ve kalıcılığını artırırlar.
MacOS giderek daha kazançlı bir hedef haline geldikçe, bu tür teknikler gelişmiş uç nokta izlemeye ve bu gizlenmiş yüklerle mücadele etmek için güncellenen algılama imzalarına ihtiyaç olduğunu göstermektedir.
Uzlaşma Göstergeleri (IOCS)
| Dosya adı | Sha1 karma | İletişim alan alan adları |
|---|---|---|
| STL | 35CE8D5817AB7A7C5BE33A03C3234181286FD61 | hxxps: // grand-flash[.]com/connect, hxxp: // vapotrust[.]com/mac/STL |
| STL-DEOBF.PY | Cd2ef119c9120ea56548f5cf0a3f7f6fc7613a | – |
| yükleyici | 878dcf854287e1dae3d5a55279df87bdf96b3 | hxxps: // grand-flash[.]com/connect |
| Sosorry | 90D3F249573652106A2B9B3466323C436DA9403 | hxxp: // 138[.]68[.]93[.]230/Connect, hxxp: // 138[.]68[.]93[.]230/Ledger-live.dmg |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!