Giderek daha karmaşık hale gelen bilgi hırsızları macOS’u hedefliyor Saldırganlar, platformun tescilli XProtect’i gibi statik imza algılama motorlarını nasıl kıracakları konusunda daha bilgili hale geldikçe, Apple’ın yerleşik kötü amaçlı yazılım korumasından kaçma yeteneği ile.
SentinelOne araştırmacıları, KeySteal, Atomic Infostealer ve CherryPie’nin şu anda çeşitli tespit motorlarını geçebilen üç aktif hırsız olduğunu ortaya çıkardı; ilk ikisinin varyantları şu anda macOS’un XProtect’inden kaçıyor bir blog yazısında Bu hafta. XProtect, indirilen dosyaları ve uygulamaları bilinen kötü amaçlı yazılım imzalarına karşı tarayarak rahatsız edici dosyaları kaldıran, macOS’un yerleşik antivirüs (AV) teknolojisidir.
Gerçekten de bilgi hırsızlığı yapan kötü amaçlı yazılımlarda artış var macOS platformunu hedefleme Geçen yılın başından bu yana ve SentinelOne’a göre, saldırganlar da savunucular kadar hızlı bir şekilde yeni tespit yöntemlerinden kaçınmak için geliştikçe bu trend 2024’te hızla başlıyor.
SentinelOne tehdit araştırmacısı Phil Stokes, gönderisinde şunları yazdı: “MacOS’un XProtect imza veri tabanındaki son güncellemeler, Apple’ın sorunun farkında olduğunu gösteriyor, ancak 2024’ün başlarında bazı hırsız ailelerin bilinen imzalardan kaçtığı görüldü.”
Hırsızlar XProtect’ten Kaçıyor
SentinelOne tarafından özetlenen üç hırsızın tümü daha önce tanımlandı ancak gelişmiş kaçınma yeteneklerini gösteren yeni varyantlarla gelişmeye devam ediyor.
KeySteal, ilk kez 2021’de gözlemlendi Trend Mikro, ilk tespit edildiğinden bu yana ve hatta Apple’ın neredeyse bir yıl önce kötü amaçlı yazılımı tespit etmek için XProtect’e bir imza eklemesinden bu yana önemli ölçüde gelişti. Bu noktada kötü amaçlı yazılım o kadar değişti ki XProtect artık mevcut sürümleri algılayamıyor.
Başlangıçta KeySteal, iOS aygıtlarında dağıtılmak üzere uygulamaları imzalamak ve paketlemek için meşru bir açık kaynak uygulaması olan “ReSignTool” adlı yerleşik bir macOS yardımcı programıyla birlikte.pkg biçiminde ortaya çıktı.
Stokes, KeySteal’in en son sürümlerinin artık ReSign aracını kullanmadığını ve bunun yerine “UnixProject” ve “ChatGPT” gibi adlarla çoklu mimarili Mach-O ikili dosyalarında göründüğünü ancak bilgi hırsızlığının şu anda nasıl dağıtıldığının belirsiz olduğunu söyledi. Kötü amaçlı yazılım yazarları artık kodu değiştirerek macOS anahtarlık bilgilerini çalacak ve kalıcı bileşenleri çeşitli sistem konumlarına bırakacak.
KeySteal’in ilk ve mevcut versiyonları arasında tutarlı kalan faktörlerden birinin, tehdit avcılarına ve statik tespitlere onu nasıl bulacaklarına dair bir ipucu vermeye yardımcı olabilecek sabit kodlanmış komuta ve kontrol (C2) olduğunu ekledi.
Atom Hırsızı SentinelOne’un şu anda vahşi doğada çeşitli yinelemeleri gözlemlemesiyle, geçen yıl tanımlandığından bu yana da gelişti. Stokes, bunun “güncellenen tek bir temel sürüm yerine tamamen farklı geliştirme zincirlerine” işaret ettiğini yazdı.
XProtect daha önce Atomic Stealer’ın Go sürümünü almış olsa da SentinelOne, C++ ile yazılmış, algılama motorunun algılayamadığı ve VirusTotal’da düşük algılama puanlarına sahip yeni varyasyonlar gözlemledi.
Bu varyant, kurbanların, analistlerin veya kötü amaçlı yazılım sanal alanlarının hırsızla aynı anda terminali çalıştırmasını önleyen mantığı içerir ve ayrıca kötü amaçlı yazılımın bir sanal makine (VM) içinde çalıştırılıp çalıştırılmadığını kontrol eder. Üstelik yeni örnekler, kodu gizlemek yerine açık metin halinde sabit kodlanmış AppleScript kullanıyor; bu da zaten bu ayın başlarında ortaya çıkan sürümlerden bir sapma.
Araştırmacılar, “CrackInstaller” ve “Cozy World Launcher” gibi isimler ve .dmg dosya formatı ile aktif Atomic Stealer çeşitlerinin dağıtımının muhtemelen torrentler veya oyun odaklı sosyal medya platformları aracılığıyla geldiğine inanıyor.
CherryPie XProtect Tarafından Reddedildi
Araştırmacılar, son güncellemelere rağmen CherryPie (namı diğer Gary Stealer) adlı üçüncü bir hırsızın hâlâ macOS XProtect tarafından engellendiğini ancak diğer statik algılama motorlarının buna karşı pek başarılı olmadığını buldu. Aynı kötü amaçlı yazılım ben deJaskaGo olarak tanımlandı Aralık ayında AT&T Labs tarafından.
Stokes, Go’da yazılmış platformlar arası bir Windows/macOS hırsızı olan CherryPie’nin yeni bir örneğinin şu ana kadar VirusTotal’da tespit edilmediğini söyledi.
Örnek, anti-analiz ve VM tespiti için kapsamlı bir mantık içermesine rağmen, yazarları, “kötü amaçlı yazılımın hem amacını (hırsızını) hem de amacını (kötü amaçlı) belirtmek için kötü amaçlı yazılımın içine gömülü açık dizeler bırakarak, kötü amaçlı yazılımı açık bir şekilde saklıyor gibi görünüyor.” ” o yazdı.
Stokes, araştırmacıların gözlemlediği CherryPie’nin bazı sürümlerinin, kötü amaçlı kodlarını bir uygulama paketine sarmak için meşru açık kaynak Wails projesini de kullandığını ekledi.
MacOS’u Hırsızlara Karşı Korumak
Her ne kadar tarihsel olarak macOS, tescilli yapısı nedeniyle nispeten güvenli bir teknoloji platformu olarak görülse de, saldırganların onu hedeflemeye yönelik ortak çabaları son yıllarda daha fazla başarı elde etti. Organize tehdit grupları – özellikle bazıları Kuzey Kore – tanıttım yeni kötü amaçlı yazılım platform için özel olarak tasarlandı ve hırsızlar saldırganların macOS’u hacklemesinin özellikle popüler bir yolu.
Platforma yapılan bu devam eden saldırı şu anlama geliyor: macOS savunucuları Stokes, XProtect’in onları engelleyebilmesi için tetikte kalmaları gerektiğini ve Apple’ın da tehditlere karşı dikkatli olmaları gerektiğini söyledi.
“MacOS bilgi hırsızlarının devam eden yaygınlığı ve uyarlanması, macOS kurumsal kullanıcılarının karşılaştığı süregelen zorlukların altını çiziyor” diye yazdı. “Apple’ın XProtect imza veri tabanını güncellemeye yönelik yoğun çabalarına rağmen, hızla gelişen bu kötü amaçlı yazılım türleri kaçmaya devam ediyor.”