Siber güvenlik araştırmacıları, virüslü ana bilgisayarlarda kalıcılık oluşturmak ve casus yazılım görevi görmek üzere tasarlanmış, Apple macOS sistemlerini hedef alan yeni bir bilgi hırsızı keşfetti.
Dublajlı Guguk kuşu Kandji’ye göre kötü amaçlı yazılım, hem Intel hem de Arm tabanlı Mac’lerde çalışabilen evrensel bir Mach-O ikili programıdır.
İkili dosyanın dumpmedia gibi sitelerde barındırıldığına dair göstergeler olmasına rağmen tam dağıtım vektörü şu anda belirsizdir.[.]com, tunesolo[.]com, fonedog[.]com, tunesfun[.]com ve tunefab[.]com, akış hizmetlerinden müzik kopyalamaya ve onu MP3 formatına dönüştürmeye adanmış uygulamaların ücretsiz ve ücretli sürümlerini sunduğunu iddia ediyor.
Web sitelerinden indirilen disk imaj dosyası, ana bilgisayar bilgilerini toplamak için bir bash kabuğu oluşturmaktan ve güvenliği ihlal edilen makinenin Ermenistan, Belarus, Kazakistan, Rusya ve Ukrayna’da bulunmamasını sağlamaktan sorumludur. Kötü amaçlı ikili dosya yalnızca yerel ayar denetimi başarılı olursa yürütülür.
Ayrıca, daha önce RustBucket, XLoader, JaskaGO gibi farklı kötü amaçlı yazılım aileleri tarafından benimsenen bir teknik olan LaunchAgent ve ZuRu ile örtüşmeleri paylaşan bir macOS arka kapısı aracılığıyla kalıcılık sağlıyor.
Cuckoo, MacStealer macOS hırsızlığı yapan kötü amaçlı yazılım gibi, ayrıcalığı artırmak için kullanıcıları sistem şifrelerini girmeleri konusunda kandırmak amacıyla sahte bir şifre istemi görüntülemek için osascript’ten yararlanıyor.
Araştırmacılar Adam Kohler ve Christopher Lopez, “Bu kötü amaçlı yazılım, sistemden mümkün olduğunca fazla bilgi toplamak amacıyla belirli uygulamalarla ilişkili belirli dosyaları sorguluyor” dedi.
Donanım bilgilerini ayıklamak, o anda çalışan işlemleri yakalamak, yüklü uygulamaları sorgulamak, ekran görüntüleri almak ve iCloud Keychain, Apple Notes, web tarayıcıları, kripto cüzdanları ve Discord, FileZilla, Steam gibi uygulamalardan veri toplamak için bir dizi komutu çalıştıracak donanıma sahiptir. ve Telegram’da.
Araştırmacılar, “Her kötü amaçlı uygulama, kaynak dizininde başka bir uygulama paketi içerir” dedi. “Bu paketlerin tümü (fonedog’da barındırılanlar hariç)[.]com) imzalanmıştır ve geçerli bir Yian Technology Shenzhen Co., Ltd (VRBJ4VRP) Geliştirici Kimliğine sahiptir.”
“Fonedog web sitesi[.]com, diğer şeylerin yanı sıra bir Android kurtarma aracına da ev sahipliği yaptı; buradaki ek uygulama paketi, FoneDog Technology Limited’in (CUAU2GTG98) geliştirici kimliğine sahiptir.”
Açıklama, Apple cihaz yönetimi şirketinin, gizlilik odaklı bir mesajlaşma uygulaması gibi görünen ve IP adresleri Çin’e coğrafi olarak yerleştirilmeyen macOS kullanıcılarını tehlikeye atabilen CloudChat kod adlı başka bir hırsız kötü amaçlı yazılımını açığa çıkarmasından yaklaşık bir ay sonra geldi.
Kötü amaçlı yazılım, panoya kopyalanan kripto özel anahtarlarını ve Google Chrome’da yüklü cüzdan uzantılarıyla ilişkili verileri ele geçirerek çalışıyor.
Bu aynı zamanda, kötü şöhretli AdLoad kötü amaçlı yazılımının Go’da yazılmış, Rload (diğer adıyla Lador) adı verilen, Apple XProtect kötü amaçlı yazılım imza listesinden kaçacak şekilde tasarlanmış ve yalnızca Intel x86_64 mimarisi için derlenmiş yeni bir versiyonunun keşfedilmesini de takip ediyor.
SentinelOne güvenlik araştırmacısı Phil Stokes geçen haftaki bir raporda “İkili dosyalar bir sonraki aşamadaki yük için ilk bırakıcılar olarak işlev görüyor” dedi ve belirli dağıtım yöntemlerinin şu anda belirsiz kaldığını ekledi.
Bununla birlikte, bu indiricilerin genellikle kötü amaçlı web siteleri tarafından dağıtılan, kırılmış veya truva atı haline getirilmiş uygulamalara gömülü olduğu gözlemlenmiştir.
En az 2017’den bu yana macOS’u etkileyen yaygın bir reklam yazılımı kampanyası olan AdLoad, arama motoru sonuçlarını ele geçirmesi ve kullanıcının web trafiğini saldırganın web sitesi üzerinden yeniden yönlendirmek için ortadaki rakip web proxy’si aracılığıyla parasal kazanç sağlamak amacıyla web sayfalarına reklam enjekte etmesiyle biliniyor. kendi altyapısı.