Mac güvenlik sağlayıcısı Kandji’nin siber güvenlik araştırmacıları, macOS kullanıcılarını hedef alan “Cuckoo” adlı yeni bir kötü amaçlı yazılım keşfetti. Kötü amaçlı yazılım, Spotify gibi bir müzik dönüştürücü uygulaması olarak gizleniyor ve hem Intel hem de ARM tabanlı Apple Mac bilgisayarlarda çalışabiliyor.
Araştırmacılar, 24 Nisan 2024’te casus yazılım ve bilgi hırsızlığı davranışı sergileyen kötü amaçlı bir Mach-O ikili programı keşfettiler. İncelemesi, Intel veya ARM tabanlı Mac bilgisayarlarda evrensel bir ikili dosya olan “DumpMedia Spotify Music Converter” başlıklı bir dosyayı ortaya çıkardı.
Kötü amaçlı yazılım, Spotify sürümü dumpmediacom’dan indirildiğinde tespit edildi. Daha sonra hem ücretsiz hem de ücretli versiyonları olan diğer web sitelerinde bulundu.
Kandji araştırmacıları blog yazılarında “Şu ana kadar tunesolocom, fonedogcom, tunesfuncom ve tunefabcom web sitelerinin aynı kötü amaçlı yazılımı içeren kötü amaçlı uygulamaları barındırdığını tespit ettik” dedi.
Guguk Kuşunun Aldatıcı Taktikleri
Cuckoo, Spotify müziğini MP3 formatına dönüştürdüğünü iddia ederek kullanıcıları kandırıyor. Kurulduktan sonra macOS anahtar zincirini, görsel kanıtları, tarama geçmişini, mesajlaşma uygulaması verilerini, kripto para birimi cüzdan ayrıntılarını ve kimlik doğrulama bilgilerini hedef alarak veri soygununa başlıyor.
Kullanıcılardan, incelenmiş bir imza veya geliştirici kimliği olmadan bir uygulamayı açmalarını isteyerek kendi kendine yüklenir. Kullanıcının konumunu kontrol eder ve ana bilgisayar donanım bilgilerini toplar. Kullanıcı daha fazla istemi kabul ederse Finder’a, mikrofona ve indirmelere erişim kazanır.
Neyi Hedefliyor?
Cuckoo, parolalar, oturum açma kimlik bilgileri ve kriptografik anahtarlar için bir depo olan macOS’un anahtar zincirini hedef alarak çevrimiçi hesapları ve hassas veri erişimini tehlikeye atıyor.
Ekran görüntülerini ve web kamerası anlık görüntülerini çalıyor ve WhatsApp ve Telegram gibi mesajlaşma uygulamalarını hedef alarak kullanıcıların çevrimiçi etkinliklerini açığa çıkarıyor ve dijital varlık sahipleri için önemli bir mali tehdit oluşturuyor.
Araştırmacılar Cuckoo’nun Safari, Notes ve Anahtarlık ile ilgili dosyaları geçici konumlara kopyaladığını ve ilgilenilen dosyalara giden yollar oluşturduğunu buldu. Makinede kalıcılığı korumak için her 60 saniyede bir başlatma aracısı çalıştırır.
Cuckoo’nun Arkasında Kim Var?
Kampanya açıkça herhangi bir tehdit aktörüne atfedilmese de araştırmacılar, kampanyanın Ermenistan, Belarus, Kazakistan, Rusya ve Ukrayna’daki cihazları yedeklediğini belirtti.
Ayrıca RustBucket, XLoader, JaskaGO’da bulunan bir özellik olan LaunchAgent ve Çinli tehdit aktörü ZuRu ile ilişkili bir arka kapı aracılığıyla kalıcılık sağlıyor. Kötü amaçlı yazılım, meşru bir Çinli geliştirici kimliğiyle (Yian Technology Shenzhen Co., Ltd (VRBJ4VRP) ve tüm paketler (fonedogcom’da barındırılanlar hariç) imzalanmış olarak imzalandı.
Kendinizi Cuckoo ve diğer kötü amaçlı yazılım tehditlerinden korumak için yazılımı dikkatli bir şekilde indirin, güvenilmeyen kaynaklardan kaçının, e-postaları ve ekleri dikkatle inceleyin ve güvenilir antivirüs ve kötü amaçlı yazılımdan koruma çözümleri kullanın. Dikkatli kalmak ve şüpheciliği sürdürmek, dijital gizlilik ve güvenlik açısından çok önemlidir.
İLGİLİ KONULAR
- Bilgisayar Korsanları Mac Kötü Amaçlı Yazılımla Apple’ın M1 Çipini Hedef Alıyor
- Macbook’unuzu çevrimiçi tehditlerden korumak için basit ipuçları
- Araştırmacılar kritik güvenlik açıklarını kullanarak MacBook’u 1 dolara satın aldı
- UpdateAgent kötü amaçlı yazılım çeşidi yasal macOS yazılımını taklit ediyor
- EvilQuest fidye yazılımı, korsan yazılım yoluyla Mac cihazlarına saldırıyor