Basitçe, kullanıcıların asla üçüncü taraf bir web sitesinden veya pazardan yazılım indirmemesi gerektiğini gösterir.
Jamf’teki siber güvenlik araştırmacıları, siber suçluların meşru Mac yazılım uygulamalarını kötü amaçlı yazılımla trojenleştirdiğini ve bunları şuraya yüklediğini keşfetti: Korsan Koyu ve kullanıcıların bunları indirdiği ve bilmeden cihazlarına bulaştırdığı diğer korsan yazılım siteleri. Saldırganlar, XMRig yardımcı programını yürütmek için XMRig cryptojacking kötü amaçlı yazılımını kullanır.
Bilginize, XMRig bir komut satırı kripto madencisidir. Trend Micro olarak Mac’te yeni değil analiz edildi Şubat 2020’de bir örnek. Bu araç meşru amaçlar için kullanılıyor ancak açık kaynaklı, uyarlanabilir tasarımı onu tehdit aktörleri arasında popüler bir seçim haline getirdi.
Yeni keşfedilen XMRig uygulaması şu şekilde gizlendi: Son Kesim Pro, Apple’ın video düzenleme yazılımı. Saldırganlar, XMRig’in her iki yinelemesinde de giden iletişim için Görünmez İnternet Projesi’ni (I2P) kullandı ve bu, bulaşmaların bağlantılı mı yoksa daha büyük bir şeyin parçası mı olduğu konusunda kafa karışıklığına yol açtı.
Final Cut Pro’nun kötü amaçlı sürümü, Apple tarafından yetkilendirilmemiştir. XMRig’i arka planda yürütür. Başlangıçta VirusTotal’daki herhangi bir güvenlik mekanizması tarafından kötü amaçlı olarak tanımlanmadığında, Ocak 2023’ten itibaren birden çok satıcı kötü amaçlı yazılımı tespit etti. Yine de, kötü amaçlı uygulamaların çoğu tespit edilmeden kalır.
Jamf’ten araştırmacılar The Pirate Bay’deki kötü amaçlı yazılım kaynağı ve truva atı uygulanan sürümle eşleşen hash değerine ve Logic Pro ve Photoshop da dahil olmak üzere bir dizi Apple Mac uygulamasına sahip bir tane buldu.
Tüm uygulamaların “wtfisthat34698409672” adlı kullanıcı tarafından The Pirate Bay’e yüklendiğini belirtmekte fayda var. Ayrıca, Final Cut Pro’nun çok sayıda sürümünü buldular.
İçinde Blog yazısıaraştırmacılar dedi ki,
“Adobe Photoshop CC 2019 v20.0.6 için Mach-O örneğinin bir DMG (yükleyicileri sıkıştırmak için kullanılan bir Apple görüntü formatı) içinde paketlenmiş olarak geldiğinden şüpheleniyorduk. Ancak, ana dosyanın kaynağı başarıyla oluşturulamadı.”
Jamf
Daha fazla araştırma, üç nesil kötü amaçlı yazılım ortaya çıkardı; ilk nesil, Ağustos 2019’da başladı ve standart bir kötü amaçlı yazılım uygulamasıydı. İkinci nesil, Nisan 2021’de başladı ve tarafından tespit edilmedi. Virüs Toplamı 13 Şubat 2023’e kadar. Ek gizli dosyalar olduğu için bu sürüm farklıydı, ancak kalıcılık mekanizması kaydedilmedi.
Bunun yerine, kötü amaçlı yazılım uygulamayla birlikte açıldı ve uygulama kapatıldığında çalışmayı durdurdu. Üçüncü nesil, herhangi bir gizli yürütülebilir dosya olmadığından, yalnızca base64 kodlu bileşenlere ve LZMA sıkıştırma.
Bu kötü amaçlı Mac uygulamalarının yeni sürümleri, Apple’ın uygulama güncellemelerinin yayınlanmasından yalnızca 24 saat sonra The Pirate Bay’de görünmeye başladı ve meşru süreçler olarak gizlendi.
Araştırmacılar bunun tipik bir durum olmadığını belirtiyor. kötü amaçlı yazılım kampanyası ve daha çok kötü amaçlı yazılım dağıtmak için bir metodoloji gibidir. Yine de, kullanıcılar truva atı bulaşmış uygulamalara karşı dikkatli olmalı ve bilinmeyen kaynaklardan yazılım indirmekten kaçınmalıdır.
İLGİLİ KONULAR
- YTStealer Kötü Amaçlı Yazılımı YouTube Kanallarını Ele Geçiriyor
- Ünlü filmler kötü amaçlı yazılımları torrentler aracılığıyla yayar
- Torrent yükleyici CracksNow fidye yazılımı yayıyor
- BHUNT kötü amaçlı yazılımı kripto çalmak için kırık yazılım kullanıyor
- KryptoCibule malware kripto çalmak için torrent sitelerini kullanır