ZuRu kötü amaçlı yazılımına benzer şekilde, korsan macOS uygulamalarına gömülü olan ve arka planda cihazların güvenliğini tehlikeye atmak için çeşitli verileri indirip çalıştıran yeni bir kötü amaçlı yazılım bulundu. Özellikle, bu uygulamalar daha fazla kurbanı cezbetmek için Çin korsan web sitelerinde barındırılıyor.
Kötü amaçlı yazılım özellikle FinalShell, Microsoft Remote Desktop Client, Navicat Premium, SecureCRT ve UltraEdit dahil olmak üzere sıklıkla yasa dışı olarak indirilen uygulamaları hedefliyor.
Jamf Threat Labs, Cyber Security News ile yaptığı paylaşımda “Kötü amaçlı yazılım bir kez patlatıldığında kurbanın makinesini gizlice tehlikeye atmak için arka planda birden fazla veri indirip çalıştıracak” dedi.
MOVEit SQLi, Zimbra XSS gibi sıfır gün güvenlik açıkları ve her ay keşfedilen 300’den fazla güvenlik açığı sorunu daha da karmaşık hale getiriyor. Bu güvenlik açıklarının düzeltilmesindeki gecikmeler uyumluluk sorunlarına yol açar; bu gecikmeler, AppTrana’daki 72 saat içinde “Sıfır güvenlik açığı raporu” almanıza yardımcı olan benzersiz bir özellik ile en aza indirilebilir.
Ücretsiz Kayıt Ol
Kötü Amaçlı Faaliyetin Yürütülmesi
Araştırmacılar, meşru bir macOS sürecini taklit eden “.fseventsd” uzantılı yürütülebilir bir dosya keşfetti.
Bununla birlikte, yapılan ek araştırmalar, bu dosyanın Çin korsanlık web sitelerine daha büyük bir disk görüntüsü (DMG) dosyasının bir bileşeni olarak yüklendiğini ve Apple tarafından imzalanmadığını gösterdi.
VirusTotal’da karşılaştırılabilir dosyalar arandıktan sonra, hepsi aynı kötü amaçlı yazılım tarafından arka kapıya kapatılmış üç korsan uygulama tespit edildi. Bu uygulamalar çevrimiçi olarak arandığında çoğunun Macyy’de barındırıldığı görüldü.[.]cn, korsan olan birçok uygulamaya bağlantılar sunan Çinli bir web sitesidir.
Raporda, iki DMG’nin daha aynı şekilde truva atı haline getirildiği ancak VirusTotal tarafından henüz tespit edilmediği belirtildi.
Her korsan uygulama sonucunda kötü niyetli davranışlar gerçekleştirildi. Etkinlikler aşağıdaki gibidir:
Uygulamanın her açıldığında damlalık olarak yükleyip çalıştırdığı kötü amaçlı bir kitaplık. MacOS kötü amaçlı yazılımları açısından, kötü amaçlı bir dylib aracılığıyla sisteme bağlanmanın bu yöntemi oldukça karmaşık kabul ediliyor.
Maalesef bunun sonucunda uygulama imzası bozuldu. Bu nedenle uygulamalar, imzasız uygulamalar olarak çevrimiçi olarak dağıtılmaktadır ve bu, korsan uygulama indiren birçok kişinin muhtemelen düşünmediği bir gerçektir.
Kötü niyetli dylib’in istismar sonrası aracı ve Khepri açık kaynak C2’yi indirip kullandığı bir ikili dosya.
Saldırganlar dosyaları indirip yükleyebilir, sistem bilgilerini elde edebilir ve hatta Khepri arka kapısıyla uzak bir kabuk açabilir.
Kalıcılığı sağlayan ve sonraki yükleri indiren, kötü amaçlı dylib tarafından indirilen bir ikili dosya. Saldırganın sunucusundan herhangi bir yükü çalıştırabilme özelliği sayesinde yürütülebilir dosya, kalıcı bir indirici görevi görür.
Araştırmacılara göre, hedeflenen uygulamalar, değiştirilmiş yükleme komutları ve saldırgan altyapısı göz önüne alındığında, bu kötü amaçlı yazılımın ZuRu’nun devamı olabileceği düşünülüyor. Başlangıçta iTerm, SecureCRT, Navicat Premium ve Microsoft Remote Desktop Client gibi korsan uygulamalarda bulundu.
Öneri
Korsan yazılım kullanmanın getirdiği riskleri anlamak çok önemlidir. Kullanıcıların, korsan yazılım barındırdığı bilinen web sitelerine erişimi engellemenin yanı sıra riskleri tespit eden ve filtreleyen macOS uygulamalarını kullanması önerilir.
Dijital sistem güvenliğini değerlendirmek için Kelltron’un uygun maliyetli sızma testi hizmetlerini deneyin. Ücretsiz demo mevcut.