Tehdit aktörleri, bir proxy sunucu uygulaması sunmak ve proxy isteklerini yeniden yönlendirmek için bunları çıkış düğümleri olarak kullanmak için kötü amaçlı yazılım bulaşmış Windows ve macOS makinelerine erişimden yararlanıyor.
AT&T Alien Labs’a göre, proxy hizmetini sunan isimsiz şirket 400.000’den fazla proxy çıkış düğümü işletiyor, ancak bunlardan kaçının kullanıcı bilgisi ve etkileşimi olmadan virüslü makinelere yüklenen kötü amaçlı yazılım tarafından seçildiği hemen belli değil.
Siber güvenlik şirketi, “Proxy web sitesi, çıkış düğümlerinin yalnızca cihazlarının kullanımı konusunda bilgilendirilen ve kabul eden kullanıcılardan geldiğini iddia etse de, kötü amaçlı yazılım yazarlarının proxy’yi virüslü sistemlere sessizce yüklediğine” dair kanıt bulduğunu söyledi.
Çatlaklı yazılım ve oyun arayan kullanıcılara proxy sağlayan birden fazla kötü amaçlı yazılım ailesi gözlemlendi. Go programlama dilinde yazılan proxy yazılımı, hem Windows’u hem de macOS’u hedefleyebilir ve birincisi, geçerli bir dijital imza kullanarak tespitten kaçabilir.
Uzak bir sunucudan daha fazla talimat almanın yanı sıra proxy, saldırıya uğramış sistemler hakkında çalışan işlemler, CPU ve bellek kullanımı ve pil durumu gibi bilgileri toplayacak şekilde yapılandırılır. Dahası, proxy yazılımının kurulumuna ek kötü amaçlı yazılım veya reklam yazılımı öğelerinin konuşlandırılması eşlik eder.
Güvenlik araştırmacısı Ofer Caspi, “Bir bağlı kuruluş programı aracılığıyla kötü amaçlı yazılım yayan proxy sunucularından para kazanmak, bu tehdidin yayılma hızını artırmak için resmi bir yapı oluşturduğundan, zahmetlidir.”
Açıklama, AT&T’nin AdLoad reklam yazılımı tarafından ele geçirilen macOS makinelerinin dev bir yerleşik proxy botnet’e dönüştürüldüğü ve AdLoad operatörlerinin Yükleme başına ödeme kampanyası yürütme olasılığını artırdığı önceki bulgularına dayanıyor.
AdLoad, macO’ları hedef alan bilinen en büyük reklam yazılımı türlerinden biridir. Popüler video oynatıcıların ve yaygın olarak kullanılan diğer uygulamaların kimliğine büründüğü bilinen Adload, tarayıcıları ele geçirir ve kurbanları potansiyel olarak kötü amaçlı web sitelerini ziyaret etmeye zorlayarak siber suçluların planlardan kâr elde etmesini sağlar.
Şirket, “AdLoad’un potansiyel olarak dünya çapında binlerce cihazı etkileme potansiyeline sahip doğası, MacOS cihaz kullanıcılarının bu kötü amaçlı yazılımın arkasındaki düşmanlar için kazançlı bir hedef olduğunu ve istenmeyen uygulamaları indirip yüklemek için kandırıldıklarını gösteriyor” dedi.
“Bağlı kuruluş programları tarafından kolaylaştırılan, kârlı bir yatırım olarak proxy uygulamaları sunan kötü amaçlı yazılımın yükselişi, rakiplerin taktiklerinin kurnaz doğasını vurguluyor. Cazip teklifler veya güvenliği ihlal edilmiş yazılımlar aracılığıyla gizlice kurulan bu proxy’ler, yetkisiz finansal kazançlar için kanal görevi görüyor.”
Bu gelişme, macOS sistemlerinin giderek daha değerli bir hedef haline gelmesiyle ortaya çıkıyor; karanlık ağ, bilgi hırsızı türlerini ve macOS güvenlik işlevlerini, yani Gatekeeper ve Şeffaflık, Rıza ve Kontrol (TCC) atlatabilecek gelişmiş araçları reklam eden tehdit aktörlerinde %1000’lik bir artışa tanık oluyor. 2019’dan beri.
Accenture bu ay yayınlanan bir raporda “2022’de ve 2023’ün ilk yarısında macOS hedefleme etkinliği yoğunlaştı” dedi.
“Kurumsal ortamlarda macOS’un artan kullanımı, macOS’u hedef almaya istekli ve yetenekli tehdit aktörlerinin yüksek potansiyel kazançları ve macOS araçlarına ve ürünlerine yönelik artan talebin birleşimi, bu eğilimin devam edeceğini gösteriyor.”
Rumen siber güvenlik şirketi Bitdefender, kendi macOS Tehdit Manzarası Raporunda, Mac kullanıcılarının geçen yıl ağırlıklı olarak üç temel tehdit tarafından hedef alındığını söyledi: Truva Atları (%51,8), Potansiyel Olarak İstenmeyen Uygulamalar (%25,3) ve Reklam Yazılımları (%22,6).
“EvilQuest, %52,7 ile Mac’leri hedefleyen en yaygın kötü amaçlı yazılım parçası olmaya devam ediyor” dedi. “Yamalı olmayan güvenlik açıklarından yararlanmak için tasarlanan Truva atları, genellikle Apple’ın en son güvenlik yamalarını yüklemeyi erteleyen kullanıcılar için gerçek bir tehlike oluşturuyor.”