LockBit fidye yazılımı çetesi, yeni geliştirdiği şifreleyicilerle ilk kez Mac’leri hedefliyor ve bu da onları potansiyel olarak macOS’u hedefleyen ilk önemli fidye yazılımı grubu yapıyor.
Fidye yazılımı saldırıları yaygındır. Ancak, saldırganlar tarafından Mac’leri hedeflemek için kötü amaçlı yazılım sürümleri oluşturmak yaygın değildir.
Apple bilgisayarlar, yaygın olarak kullanılmasına rağmen, aşağıdakiler gibi diğer platformlara kıyasla daha düşük bir varlığa sahiptir:-
MalwareHunterTeam, VirusTotal’ın kötü amaçlı yazılım analizi deposunda ilk olarak Kasım ve Aralık 2022 arasında fidye yazılımı şifreleyici örnekleri tespit etti.
Yakın tarihli bir tweet’te MalwareHunterTeam, macOS’u hedefleyen yeni bir LockBit fidye yazılımı varyantından bahsetti.
LockBit, Apple’ın PowerPC yongalarını kullanan daha yeni Apple işlemci tabanlı ve daha eski Mac’ler için bir şifreleyici sürümü geliştirdi.
Teknik Analiz
MalwareHunterTeam, VirusTotal’da görünüşe göre mevcut LockBit şifreleyicilerin çoğunu içeren bir ZIP arşivi keşfetti.
LockBit işlemleri geleneksel olarak hedefleme için oluşturulmuş şifreleyicileri kullanır: –
Bunun dışında, ‘locker_Apple_M1_64’ adlı özel bir şifreleyici, daha yeni macOS’u Apple Silicon ile şifrelemeyi hedefliyor.
Objective See for Apple M1’deki araştırmacılar tarafından LockBit şifreleyicinin analizi sırasında uzmanlar, bunun bir test olarak gelişigüzel bir şekilde toplandığını ve macOS şifrelemesi için tasarlanmadığını gösteren yanlış yerleştirilmiş dizeler keşfettiler.
Apple M1 şifreleyicide VMware ESXi’ye birden fazla referans bulundu; bu, VMware’in daha önce CPU mimarisini desteklemeyeceğini beyan etmesinden dolayı garip.
Codesign yardımcı programı kullanılarak, şifreleyicinin bir Apple Geliştirici Kimliği yerine “geçici” bir şekilde imzalandığı belirlendi.
Sonuç olarak macOS, saldırganlar tarafından bir sisteme indirilirse çalışmasını engelleyecekti ve bu, spctl yardımcı programı tarafından gösterilen “geçersiz imza” mesajıyla doğrulandı.
Locker_Apple_M1_64, sembollerinin soyulmadan bırakılmasından yararlanan ve onu daha akıcı hale getiren bir arm64 ikili dosyasıdır.
Şifreleyici, dosya adlarıyla belirtilen 65 Windows dosya uzantısını ve klasörünü şifrelemenin dışında bırakır.
Objective See’den Patrick Wardle şunları söyledi:
“macOS şifreleyici, temel yapılandırma ayarlarına sahip Linux tabanlı şifreleyicinin derlenmiş bir sürümüdür. Ancak, başlatıldığında, koddaki bir arabellek taşması hatası nedeniyle çöküyor.”
macOS artık radarlarında olsa da, şifreleyici yalnızca macOS için derleme sırasında eklenen temel yapılandırma bayraklarına sahip olduğundan konuşlandırmaya henüz hazır değil.
Bir şifreleyici olarak işlev görmeden önce, LockBit geliştiricisinin TCC’yi atlaması ve noter onayı alması gerekir.
Ancak LockBit’in halka açık yüzü LockBitSupp, Mac şifreleyicinin şu anda aktif geliştirme aşamasında olduğunu belirtti.
macOS şifreleyicinin işletme ortamlarında ne kadar yararlı olacağı net olmasa da, küçük işletmeleri ve tüketicileri hedefleyen LockBit bağlı kuruluşları onu daha yararlı bulabilir.
Kötü Amaçlı Yazılımlara Karşı Savunma Stratejinizi Oluşturma – Ücretsiz E-Kitap İndirin