MacOS Infostealers, pencere merkezli tehditlerin baskın olduğu bir dünyada güçlü ve takdir edilmeyen bir veri açığa çıkma yöntemi haline geliyor. Fidye yazılımı dağıtımlarına ve önemli ihlallere öncül olarak hareket ederler.
Genellikle hizmet olarak kötü amaçlı yazılım (MAAS) modelleri, yüklü uygulamalar, tarayıcıda saklı kimlik bilgileri, oturum çerezleri ve otomatik doldurma detayları dahil olmak üzere hassas ana bilgisayar verilerini titizlikle hasat eden bu kötü amaçlı yazılım varyantları.
Bu çalınan bilgiler sıklıkla ilk erişim komisyoncunun emtia olarak işlev görür, daha derin ağ uzlaşmalarını veya fidye yazılımı bağlı kuruluşlarına yeniden satış yapılır.
MacOS hedefli infosterers’ın hızlı evrimi
Başkan Yardımcısı Keisha Hoyt ve Kıdemli Hunt analisti Paul Daubman da dahil olmak üzere Flashpoint’in istihbarat ekibinden yapılan son analizler, sık sık güncellemeleri ve MAAS erişilebilirliği nedeniyle atomik çalma gibi suşların baskın olduğu gelişen bir ekosistem ortaya koyuyor.
Yakından ilişkili, kaynak sonrası kod satışını devam ettiren ve Atomic’in eski yaratıcılarından geliştirme soyundan yararlanan Poseidon Stealer.
Diğer önemli olanlar arasında kampanyalarda sık sık paketlenmiş başka bir Maas zımba olan Cthulu Stealer ve tehdit çeşitliliğini artıran bağımsız bir proje olan Banshee Stealer.
Bu infostealers, meşru sistem etkileşimlerini taklit eden aldatıcı kullanıcı istemlerini hazırlamak için elma metnini kullanarak taktiksel sofistike kullanırlar, böylece kullanıcı şüphesinden kaçar.
Veri toplama, donanım ve yazılım ayrıntılarını numaralandırmak için sistem profili komutlarına dayanır, ardından pesfiltrated yüklerin sıkıştırılması ve komut ve kontrol (C2) sunucularına HTTP protokolleri üzerinden iletim yapılır.
Windows muadillerinden daha az olgun olmasına rağmen, bu macOS varyantları, altıgen kodlama, Base32 ve özel Base64 alfabeleri gibi gizleme katmanlarını içeren hızlandıran teknik olgunlaşma sergiler.
Çoğaltma bir kaymaya işaret ediyor: MacOS artık periferik bir hedef değil, bu gelişen tehdidi karşı koymak için yüksek güvenlik duruşları talep ediyor.
Ters mühendislik yoluyla proaktif savunma
Bu tehditlerle mücadele etmek, operasyonel mekaniği, kaçırma taktiklerini ve evrimsel kalıpları ortaya çıkarmak için kötü amaçlı yazılım ikili dosyalarının sahte kod haline getirildiği gelişmiş ters mühendislik tekniklerini gerektirir.
Bu diseksiyon, C2 uç noktaları, evrensel olarak benzersiz tanımlayıcılar (UUID’ler), ilişkili kullanıcı adları ve kimlikler oluşturma, güvenlik ekiplerinin saldırgan altyapısını ve önleme kampanyalarını haritalamasını sağlayan kritik uzlaşma göstergelerini (IOC’ler) ortaya çıkarır.
Rapora göre, Flashpoint’in otomatik çıkarıcılar, analistlerin Poseidon’un varyantlarını basit kodlanmış formlardan yoğun bir şekilde gizlenmiş yinelemelere kadar parçaladığı ve özel algılama kuralları için eyleme geçirilebilir bilgiler verdiği, son web seminerinde sergilenen yüzlerce örneği işleyerek etkinlik gösteriyor.
Bunu tamamlamak, Flashpoint’in 30’dan fazla Infostealer ailesinden veri yutan, yaklaşık 1,5 milyon benzersiz enfekte edilmiş ana bilgisayar izleyen ve 50 milyon benzersiz ve 6 milyon yeni girişle ayda yaklaşık 300 milyon kimlik bilgisi seti yakalayan sağlam günlük ayrıştırma ve zenginleştirme boru hattıdır.
Bu süreç, tutarsız günlük formatları, tehdit aktörleri tarafından yeniden markalama ve zenginleştirilmiş veri kümeleri sunmak için teknik varyanslar gibi zorluklarda gezinir.
Kuruluşlara, Infostealer artışlarını tam ihlallere engellemek için tehlikeye atılmış alanlarda proaktif uyarılar uygularken, yasadışı pazarlarda kesin olarak ortaya çıkan alanlara özgü izleme ile bunları entegre etmeleri tavsiye edilir.
Zenginleştirilmiş zekayı otomatik savunmalarla kaynaştırarak, savunucular stratejik bir avantaj elde ederek, ham telemetriyi geri döndürülemez hasara yol açmadan önce veri hırsızlığını durduran gerçek zamanlı hafifletmeler haline getirir.
MacOS Infostealers çekiş kazandıkça, bu çok yönlü yaklaşımlar bu sinsi tehdit vektörüne karşı korunmak için gereklidir.
Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.