Güvenlik araştırmacıları, tehdit aktörlerinin tamamen tespit edilemez (FUD) disk görüntüsü (DMG) yüklerini dağıtmak için genişletilmiş doğrulama (EV) kod imzalama sertifikalarını kötüye kullandığı yeni bir macOS kötü amaçlı yazılım kampanyası ortaya çıkardılar.
EV sertifikası kötüye kullanımı Windows ekosistemini uzun zamandır rahatsızken, MacOS kötü amaçlı yazılımlara genişlemesi, kod imzalama sömürüsünde önemli bir yükselişe işaret ediyor.
Yeni bir DMG örneği (SHA-256: A031BA8111DED0C1ACFED9AB83B4be8274584da71bcc88ff72e2d51957dd7) yeni bir geliştirici kimliği tarafından imzalandı: Thomas Boulay Duval (J97Glq5kw9).
EV sertifikaları, meşru geliştiriciler tarafından titiz kimlik doğrulaması ve önemli finansal yatırım gerektirir. Apple’ın platformunda, EV sertifikalarına az miktarda ve yüksek maliyetle verilir ve kod imzalama güveni için altın standardını temsil eder.
Bununla birlikte, rakipler, ister hırsızlık, yasadışı kanallar aracılığıyla satın alma veya tehlikeye atılan kimlik belgelerinin kötüye kullanılması – kötü amaçlı yazılımlarını imzalamak için bu sertifikaları elde etmişlerdir. İmzalandıktan sonra, DMG yükleri macOS güvenlik kontrolleri için meşru görünür ve kullanıcılar tarafından kolayca yüklenir.
Kampanya operatörleri, imzalayanın adının parçalarını, meşruiyeti düşünmek için kaba bir girişimde paket tanımlayıcısına ekler – Balaban.sudoku “Alina Balaban” ı taklit eder ve Thomas.Parfums “Thomas Boulay Duval” ı yansıtır. Bu ploya rağmen, daha derin inceleme kolayca kötü niyetli davranışları ortaya çıkarır.
Kötü amaçlı başlatıcıyı ortaya çıkarmak
DMG içindeki Mach-O yürütülebilir dosyasının analizi, dize tablolarına gömülü Fransızca “parfumlar” kelimesine birden fazla referans ortaya koymaktadır.
Gömülü Applescript çalışma zamanında uzak bir URL’den (FranceParfumes[.]org/parfume), @OSINT_BARBIE tarafından son bir Twitter iş parçacığında tarif edilen tekniklere benzer.
Bir kez yürütüldüğünde, Applescript daha önce Windows dağıtımlarında görülen kimlik bilgisi hasat truva atı olan Odyssey Stealer olarak tanımlanan ikinci aşamalı bir yükü düşürür ve çalıştırır.
Komut dosyası Swift’s aracılığıyla sistem API’lerini çağırıyor dataTaskWithURL:completionHandler: Stealer ikili indirme yöntemi ve uyarılar yükseltmeden imzalı kabın altında yürütme.
Operasyonel etki ve IOC’ler
Tehdit aktörlerinin EV sertifikalarını kötüye kullanması, Apple kod imzalama güven modelini zayıflatır. Bu sertifikalar rapor edilir ve iptal listesine eklenir, sonraki kötü amaçlı yazılım kampanyaları güncellenmiş sistemlerde başlatılamaz.
Bununla birlikte, tespit edilmemiş dağıtım için fırsat penceresi, günlerce veya haftalar sürebilir – çok sayıda kurbanı tehlikeye atma süresi.
Uzlaşma göstergeleri:
- SHA-256: A031BA8111DED0C11ACFED9AB83B4BE8274584DA71BC8FF72E2D51957DD7.
- Alan Adı: FranceParfumes[.]org/parfüm.
- IP Adresi: 185.93.89.62.
Güvenlik ekipleri, Odyssey Stealer tarafından istismar edilen EV sertifikalarını, certCentral.org/lookup?detail_type=malware&query=odyssey++Sstealer adresindeki CertCentral.org/querydooblog
MacOS kötü amaçlı yazılımları imzalamak için EV sertifikalarının kullanılması, kod imzalama sömürüsünde rahatsız edici bir değişimi temsil eder.
Kuruluşlar ve son kullanıcılar uyanık kalmalıdır-Sertifika Meşruiyetini Seçkinlik İstemlerinin Ötesinde Etmek ve kötü niyetli alanları ve iptal edilmiş sertifikaları engellemek için tehdit istihbarat yemlerinden yararlanmalıdır.
İstismar edilen EV sertifikalarının hızlı raporlanması ve iptali, bu kampanyaları bozmak ve MacOS ortamlarının benzer şekilde imzalanmış tehditlerden korunması için kritik öneme sahiptir.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.