MacOS kullanıcıları, Frigidstealer olarak adlandırılan yeni bir bilgi çalan kötü amaçlı yazılım Ocak 2025’ten bu yana zorlu bir tehdit olarak ortaya çıktı.
Bu sinsi kötü amaçlı yazılım, rutin tarayıcı güncellemeleri olarak maskelenerek kullanıcı güveninden yararlanır ve şüphesiz bireyleri tehlikeye atılan web sitelerinden kötü niyetli bir disk görüntü dosyası (DMG) indirmeye çeker.
Geleneksel kötü amaçlı yazılımlardan farklı olarak, FrigidStealer, kullanıcıları dosyayı manuel olarak yürütmeye ve aldatıcı elma metni istemleri aracılığıyla girmeye zorlayarak macOS bekçi koruyucu korumalarını atlar.
.png
)
Kurulduktan sonra, tarayıcı kimlik bilgileri, kripto para cüzdanları ve sistem bilgileri dahil olmak üzere çok çeşitli hassas verileri hedefler ve ciddi kimlik hırsızlığı ve finansal sahtekarlık riskleri oluşturur.
Uzmanlar, kötü amaçlı yazılımların finansal motivasyonlarını ve bireysel kullanıcılar ve işletmeler için ikili tehdidini vurgulayarak kötü şöhretli EvilCorp Sendikası ile potansiyel bağlantılar önermektedir.
Yazılım güncellemelerine olan güvenden yararlanma tehdidi
Frigidstealer endişe verici bir sofistike ile çalışır ve kendisini MacOS uç noktalarında “DDAolimaki-Daunito” adlı bir uygulama olarak kaydeder ve yürütülebilir yolu “Volumes/Safari Updater/Safari Updater.App” olarak izlenir.
LaunchServicesd aracılığıyla kalıcılık, sistem yeniden başlatmalarında aktif kalmasını sağlayan “com.wails.ddaolimaki-daunito” paket kimliği altında bir ön plan uygulaması olarak oluşturur.
Kötü amaçlı yazılım, verileri hasat etmek için yetkisiz işler arası iletişim için Apple etkinlikleri kullanır ve MDNSRePonder aracılığıyla DNS veri tünelini kullanarak komut ve kontrol (C2) sunucularına çalınan bilgileri dışarı atar.
Exfiltrasyon sonrası, algılamadan kaçınmak için süreçlerini sonlandırır ve hafifletme çabalarını daha da karmaşıklaştırır.
Bu tehdide karşı koymak için, siber güvenlik profesyonelleri tespit için açık kaynaklı bir Siem ve XDR platformu olan Wazuh’u kullanabilirler.
Rapora göre, sistem günlüklerini izlemek ve WazUh sunucusundaki özel kod çözücüleri ve kuralları ayarlamak için birleşik günlüğe kaydetme sistemini (ULS) kullanmak üzere macOS uç noktalarında yapılandırılması, süreç kaydı, DNS sorguları ve veri eksfiltrasyonundaki denemeler de dahil olmak üzere şüpheli aktivitelerin gerçek zamanlı olarak işaretlenmesine olanak tanır.
Teknik incelikler
Korumalı kurallar aracılığıyla oluşturulan uyarılar, kötü amaçlı yazılımların demet kimliğini veya Apple etkinlik kullanımını algılayanlar gibi, Tehdit av modülü altındaki Wazuh gösterge tablosunda görselleştirilebilir ve hızlı olay yanıtını mümkün kılar.
Yapılandırma, frigidstealer’a bağlı süreçleri izlemek ve ilgili günlük olaylarını ayrıştırmak için Regex tabanlı kod çözücüleri işlemek ve kötü niyetli davranışların kapsamlı bir şekilde izlenmesini sağlamak için Wazuh ajanının Ossec.conf dosyasında belirli günlük sorgularının tanımlanması gibi karmaşık adımları içerir.
Bu kötü amaçlı yazılım, genellikle bu tehditlere karşı daha az savunmasız olarak algılanan macOS sistemlerinde gelişmiş güvenlik önlemlerine yönelik kritik bir ihtiyacı vurgulamaktadır.
Frigidstealer’ın Gatekeeper gibi yerleşik korumaları atlamak için sosyal mühendisliğe güvenmesi, saldırı metodolojilerinde tehlikeli bir evrimi ortaya koyuyor.
Siber tehditler daha aldatıcı büyüdükçe, kullanıcılar istenmeyen güncelleme istemleriyle dikkatli olmalıdır ve kuruluşlar bu tür gizli rakiplerle mücadele etmek için uç nokta izleme ve çalışan farkındalığına öncelik vermelidir.
Wazuh gibi araçlarla eyleme geçirilebilir tespit yetenekleri sağlayan araçlarla, Frigidstealer’a karşı savaş kazanılabilir, ancak hassas verilerin yanlış ellere düşmesini korumak için uyanıklık ve proaktif savunma gerektiriyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!