Sinsi macOS arka kapısı Saldırganların virüslü makineleri uzaktan kontrol etmesine olanak tanıyan bu virüs, Çin web sitelerinde barındırılan platform için truva atı haline getirilmiş uygulamalarda saklanıyor. “.fseventsd” ikili dosyası, bilinen kötü amaçlı yazılımlara bazı benzerlikler taşıyor ancak onu farklı kılan yeni bir gizlilik katmanı ekliyor.
Jamf Tehdit Laboratuvarlarından araştırmacılar keşfetti Çin’deki macyy sitesinde barındırılan bir dizi zehirli uygulama[.]cn; Jamf Threat yöneticisi Jaron Bradley, Dark Reading’e “büyük olasılıkla diğer uygulama korsanlığı yapan web sitelerinde de barındırılıyor olsalar da” saldırgan altyapısıyla iletişim kuracak şekilde değiştirildiler.
18 Ocak’ta yayınlanan araştırma hakkında yazdığı blog yazısında “Bu uygulamalar kurban kazanmak amacıyla Çin korsan web sitelerinde barındırılıyor” diye yazdı. “Kötü amaçlı yazılım bir kez patlatıldığında arka planda birden fazla veriyi gizlice indirip çalıştıracak. kurbanın makinesini tehlikeye at.”
Jamf Threat Labs, kötü amaçlı yazılımın, kötü amaçlı yazılımdan gelen kötü amaçlı kod gibi davrandığını tespit etti. Khepri açık kaynak projesiBradley, “kötü amaçlı yazılımın işletim sistemindeki diğer işlemlerle karışmasını sağlamak için” değiştirilmiş gibi görünse de, diyor. Bunu, herhangi birinin sistem işlemlerini araştırmaya çalışırken kötü amaçlı yazılımla karşılaşması durumunda kendisini yeniden adlandırarak yapar.
Aksi takdirde işlevsellik Khepri arka kapısı gibi davranarak saldırganın sistem hakkında bilgi toplamasına, kullanıcı izin vermişse dosyaları indirip yüklemesine ve bilgisayarda uzak bir kabuk açmasına olanak tanıyor.
Benzeri ZuRu Kötü Amaçlı Yazılım
Araştırmacılar, başlangıçta kötü amaçlı yazılımın, çeşitli tehdit uyarılarını tetiklerken fark ettikleri .fseventsd adlı yürütülebilir dosya biçiminde olduğunu keşfettiler. Yürütülebilir dosya gizli olmasıyla (noktayla başlayan adından da anlaşılacağı gibi) ve ayrıca işletim sistemindeki yerleşik bir işlemin adını kullanmasıyla dikkat çekiyordu. Ayrıca Apple tarafından engellenmedi ve o sırada VirusTotal’da kötü amaçlı olarak işaretlenmedi.
VirusTotal’ı kullanan araştırmacılar, .fseventsd ikili dosyasının orijinal olarak daha büyük bir DMG dosyasının parçası olarak yüklendiğini ve bunun da diğer üç korsan uygulamaya da arka kapıyla kapatıldığını belirledi.
İnternet’te yapılan bir arama, uygulamaların izini Çin web sitesine kadar sürdü; bu site aynı zamanda diğer birçok korsan uygulamaya da bağlantı sağlıyor. Bradley, “Aynı şekilde truva atı haline getirilmiş ve henüz VirusTotal’a ulaşmamış iki ek DMG daha keşfettik” diye ekledi.
Dosyanın daha derinlemesine analizi, uygulamaların içinde gizlenen kötü amaçlı yazılımın üç kötü amaçlı etkinlik gerçekleştirdiğini ortaya çıkardı. Bunlardan ilki, uygulama tarafından yüklenen ve uygulama her açıldığında çalıştırılan bir damlalık görevi gören bir kitaplık olan kötü amaçlı bir dylib’dir. Bu kitaplık daha sonra aşağıdaki iki kötü amaçlı işlemi indirir: Khepri açık kaynak komut ve kontrol (C2) ve istismar sonrası aracını kullanan indirilen bir arka kapı ikili programı ve kalıcılığı ayarlayan ve ek yükler indiren bir indirici.
Araştırmacılar, kötü amaçlı yazılımın ZuRu kötü amaçlı yazılımıyla bazı benzerlikler taşıdığını buldu. daha önce tanımlanmış veri hırsızlığı yapan kötü amaçlı yazılım Baidu’daki sponsorlu arama sonuçları aracılığıyla yayılan ve Cobalt Strike aracısını güvenliği ihlal edilmiş sistemlere yükleyen macOS için.
Bradley, nihai yüklerin farklı olmasına rağmen, iki kötü amaçlı yazılımın tehlikeye attıkları uygulamalarda, her ikisinin de kullandığı dylib tekniklerinde ve altyapı için kullandıkları etki alanlarında benzerlikler paylaştığını söylüyor.
“Ancak, bırakılan son kötü amaçlı yazılım orijinal ZuRu’dan çok farklı olduğundan doğrudan ilişkili olup olmadığını söylemek zor” diyor.
macOS Risk Altında
Genel olarak kampanya, macOS platformu için korsan uygulamalardan kaynaklanan mevcut riski bir kez daha ortaya koyuyor, ancak daha da önemlisi, kullanıcıları tehlikeye atmak için değiştirilmiş bir uygulamanın içine yerleştirilmiş kötü amaçlı bir kitaplığı kullanan saldırganların artan sıklığının ana hatlarını çiziyor.
Bradley, Dark Reading’e “Bu genellikle tespit ve analizi biraz daha zorlaştıran bir tekniktir” dedi. “Bu, kötü amaçlı yazılım yazarlarının macOS işletim sistemine daha fazla aşina olduklarını ve daha gizli olmaya zaman ayırdıklarını gösteriyor.”
Bradley, platformu korumak için macOS kuruluşlarının ve kullanıcılarının yapmaktan kaçınması gereken önemli bir hatanın “tüm Mac’lerin doğası gereği güvenli olduğu” varsayımı olduğunu söylüyor. Gerçekten de son birkaç yılda saldırganlar tarafından platformun hedef alınmasında dikkate değer ve artan bir artış yaşandı. özel macOS kötü amaçlı yazılımı bilgi hırsızları dahil O çatlayabilir Apple’ın yerleşik yazılım korumaları.
Bradley, işletmelerin macOS’taki tehditleri hem tespit edip engelleyen hem de kullanıcıların korsan yazılım barındırmak için kullanıldığı bilinen web sitelerini ziyaret etmesini engelleyen yazılımlar kullandığını tavsiye etti. Ayrıca tüm macOS kullanıcılarının evde, kurumsal VPN kullanırken veya ofiste korsan uygulamaları indirmeleri kesinlikle önerilmez.