Siber güvenlik manzarası, MacOS hedefli bilgi çalan kötü amaçlı yazılımlarda endişe verici bir artışa tanık oluyor ve geleneksel pencere merkezli tehdit modelinden önemli bir değişim işaret ediyor.
Bu sofistike infosterers, macOS ortamlarını eşi görülmemiş bir hassasiyetle kullanmak için hızla gelişmekte, tarayıcı kimlik bilgileri, çerezler ve fidye yazılımı grupları ve başlangıç erişim brokerleri için ağ geçitleri olarak hizmet veren otomatik doldurma bilgileri de dahil olmak üzere değerli verileri hedefler.
Bu macOS Infostealers’ın ortaya çıkışı, Apple sistemlerinin büyüyen girişimin benimsenmesine hesaplanmış bir yanıtı temsil etmektedir. Windows meslektaşlarından farklı olarak, bu tehditler platforma özgü saldırı vektörlerinden geleneksel güvenlik önlemlerini atlamak için kullanıyor.
Kötü amaçlı yazılımın birincil hedefi, tarayıcı saklı verilerin hasat edilmesine, ana bilgisayar bilgilerini ve uygulama ayrıntılarını yüklemeye odaklanarak enfekte sistemlerin kapsamlı dijital parmak izlerini oluşturur.
Flashpoint Intel ekip analistleri, mevcut tehdit manzarasına baskın olan dört önemli suş tanımladı: Hizmet olarak en yaygın kötü amaçlı yazılım teklifi olarak tanınan Atomik Stealer; Atomic’in geliştirme ekibine bağlantıları olan sofistike bir varyant olan Poseidon Stealer; Bir başka önemli Maas platformu olan Cthulu; ve Banshee, genişleyen ekosisteme katkıda bulunuyor.
Bu aileler, yaklaşık 50 milyon benzersiz kimlik bilgisi ve 1,5 milyon enfekte ev sahibi arasında yakalanmamış 6 milyon daha önce hiç görülmemiş giriş ile toplu olarak 300 milyondan fazla kimlik bilgisi setini işlemektedir.
Teknik enfeksiyon mekanizmaları ve sistem sömürüsü
Bu infosterers tarafından kullanılan enfeksiyon metodolojisi, macOS mimarisinin sofistike bir şekilde anlaşılmasını göstermektedir.
Kötü amaçlı yazılım, esas olarak aldatıcı kimlik doğrulama istemleri oluşturmak için AppleScript’i kullanır ve meşru sistem iletişim kutularına kullanıcı güvenini kullanır.
Tipik bir enfeksiyon dizisi şunları içerir:-
display dialog "System Update Required" with title "macOS Security Update" buttons {"Cancel", "Install"} default button "Install"Başarılı sosyal mühendisliği takiben, kötü amaçlı yazılım, donanım ve yazılım yapılandırmalarını numaralandırmak için sistem profili komutlarını yürütür.
. system_profiler SPHardwareDataType komut sistem özelliklerini ortaya çıkarır, ancak system_profiler SPApplicationsDataType Kataloglar, saldırganlara ayrıntılı keşif verileri sağlayan uygulamaları yükledi.
Veri eksfiltrasyonu, komut ve kontrol sunucularına HTTP Post istekleri aracılığıyla gerçekleşir ve toplanan bilgiler standart arşivleme yardımcı programları kullanılarak sıkıştırılır.
Kötü amaçlı yazılım genellikle Safari’nin anahtarlık girişlerini, Chrome’un yerel durum dosyalarını ve Firefox’un girişlerini hedefler.
Bu teknik sofistike, tespit kaçakçılığı tekniklerinin hızlı evrimi ile birleştiğinde, macOS infostaler’larını anında örgütsel dikkat ve gelişmiş güvenlik önlemleri gerektiren zorlu bir tehdit olarak konumlandırır.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi