JokerSpy – Çok Aşamalı macOS Kötü Amaçlı Yazılım


JokerSpy macOS Kötü Amaçlı Yazılımı

MacOS’un en güvenli İşletim Sistemlerinden biri olduğu bildiriliyor. 2023’ün başı itibariyle dünya çapında 100 milyondan fazla macOS cihazı var. Popülerliği nedeniyle son zamanlarda tehdit aktörleri macOS cihazlarını hedef almaya başladı.

SentinelOne, Bitdefender ve Elastic’in yakın tarihli raporlarına göre, kuruluşlardaki birden çok macOS cihazını kullanan yeni bir macOS kötü amaçlı yazılım türü ortalıkta dolaşıyor. Bu kötü amaçlı yazılımın kurbanlarının sayısı henüz doğrulanmadı.

CSN

Bu kötü amaçlı yazılım, aktif bir düşman dağıtımı, bir arka kapı sağlama yeteneğine sahiptir ve bir açık kaynak keşif biçimidir. Çok platformlu, istismar edilebilir bir araçtır ve macOS’tan yararlanma yeteneğine sahiptir.

JokerSpy – Çok Aşamalı macOS Kötü Amaçlı Yazılım

Bu kötü amaçlı yazılımın ele geçirilmesinin ilk aşaması hala araştırılmaktadır. Mevcut raporlara göre, ilk güvenlik açığı seviyesinin, açık kaynaklı bir QR projesinin içinde gizlenen QRWriter.java dosyasındaki truva atı haline getirilmiş bir QR üreteci ile bağlantılı olduğu keşfedildi.

Ana bilgisayar işletim sistemi algılandığında, kötü amaçlı yazılım, geçici dizin içinde yazılan ve yürütülen yerleşik bir base64 bloğunun kodunu çözer. Bu kodu çözülmüş dosya, hxxps://git-hub adresindeki C2 (Komuta ve Kontrol) sunucusuyla iletişim görevi görür.[.]ben/görünüm/php.ini

java dosyasında Base64 blob Kaynak: SentinelOne
C2 (Komuta ve Kontrol) sunucusu Kaynak: SentinelOne

Kötü amaçlı yazılım, C2 sunucusundan gelen yanıta bağlı olarak hareket eder ve ayrıca bir p.dat dosyası ve bir prefTemp.java Saldırgan için ters kabuğu sağlayan yürütülebilir dosya. Buna ek olarak, kötü amaçlı yazılım ayrıca iki arka kapı dosyası daha oluşturur. paylaşılan.dat Ve sh.py.

Yapılan incelemelere göre saldırgana düzenli aralıklarla aşağıdaki veriler gönderiliyor.

  • Geçerli Çalışma Dizini
  • Kullanıcı adı
  • Ana bilgisayar adı
  • Alan adı
  • OS sürümü
  • Python Sürümü
  • sh.py yolu

JokerCasus | macOS Casus Yazılım aşaması

Daha ayrıntılı analizlerde, bir bileşenin yalnızca macOS için olduğu keşfedildi. Başlatma Hizmetleri Tanımlayıcısı com.apple.xprotectcheck’i kullanan “xcc” adı altında bir dosya gizlenmiştir. Bu dosya hem Intel hem de Apple silikon mimarilerinde çalışır.

Bu dosya, normal bir saldırgan için çok daha karmaşık olan aşağıdaki bilgileri toplama yeteneğine sahiptir. Analiz, saldırganın yalnızca sisteme sızmak istemediğini, aynı zamanda daha fazla istismar için kurbanın davranış modelini incelemek istediğini de gösteriyor. Veriler şunları içerir:

  • Cihaz Boşta Kalma Süresi
  • Aktif (En Öndeki) Uygulama
  • Ekran Durumu (Kilitli veya açık)
  • Etkin uygulamanın Tam Disk erişimi
  • Etkin uygulamanın ekran kaydı izinleri
  • Etkin uygulamanın erişilebilirlik izni
SystemIdleTime() işlevi. Kaynak: SentinelOne

Resim: Dosya, son fare altlığı, izleme dörtgeni veya klavye kullanımından itibaren sistem boşta kalma süresini sorgulamak için artık IOHIDSystem olan IOServiceMatching()’i kullanır.

“Yapay zeka tabanlı e-posta güvenlik önlemleri İşletmenizi E-posta Tehditlerinden Koruyun!” – Ücretsiz Demo İsteyin.



Source link