Jamf Threat Labs ekibindeki güvenlik araştırmacıları, yakın zamanda macOS kullanıcılarını hedefleyen sinsi bir kripto madenciliği operasyonunu ortaya çıkardı.
Saldırganlar, popüler video düzenleme yazılımı Final Cut Pro’nun kötü amaçlı kod içerecek şekilde değiştirilmiş sahte bir sürümünü kullanıyor.
Daha da endişe verici olan şey, bu planın çoğu antivirüs programının radarından kaçmayı başararak, şüphelenmeyen kullanıcıları saldırganların çıkarları için bilgisayar kaynaklarının ele geçirilmesi riskiyle karşı karşıya bırakmasıdır.
Final Cut Pro’da, XMRig madeni para madencisinin çalıştırılmasına neden olan yetkisiz bir değişiklik vardı.
Kaçamak Kötü Amaçlı Yazılım Kampanya
Jamf Threat Labs, macOS’u hedefleyen belirli bir tehdit belirledi ve kökeninin The Pirate Bay’de paylaşılan kötü amaçlı dosyalar içeren torrentlere kadar izini süren bir araştırma yürüttü. Bu dosyaları paylaşan kişi kullanıcı adını kullanmış [wtfisthat34698409672].
Çevrimiçi etkinliklerini daha derine inerken, 2019’dan beri düzenli olarak macOS uygulamaları yükledikleri ortaya çıktı.
- adobe photoshop
- Mantık Pro X
Araştırmacılar, araştırmalarını derinlemesine inceledikten sonra büyüleyici bir keşifte bulundular. Kötü amaçlı yazılım bir değil, iki değil, üç ana geliştirme aşamasından geçmişti.
Her yeni yinelemede, kötü amaçlı program daha sofistike hale geldi ve karmaşık kaçırma teknikleriyle donatıldı.
Bu sinsi kötü amaçlı yazılımın ilk nesli, onun sinsi doğasının gidişatını çoktan belirlemişti. C2 ile iletişiminin tespit edilmemesini sağlamak için bir i2p ağ katmanı kullandı.
Bu sıradan bir katman değildi, dijital ayak izi bırakmayan karmaşık bir anonimlik ağıydı. En son sürüme güncelleme yapsanız bile kötü amaçlı yazılım bu özelliği korur.
2021 yılının Nisan ve Ekim ayları arasındaki kısa bir süre için, kötü amaçlı yazılımın ikinci yinelemesi varlığını duyurdu. Bu nesilde, kötü amaçlı yazılım, kod tabanında önemli değişiklikler geçirmişti.
En dikkate değer eklemelerden biri, 64 tabanlı kodlamaların kullanılmasıydı. Bu, yürütülebilir dosyaların uygulama paketi içinde gizlenmesine izin vererek onları neredeyse algılanamaz hale getirdi. Kötü amaçlı yazılım, yalnızca kendisinin ve yaratıcılarının bildiği gizli bir kod geliştirmiş gibiydi.
Ekim 2021’de mevcut nesil olan üçüncü nesil piyasaya sürüldü. 2022 yılının Mayıs ayından bu yana vahşi doğada dağıtılan ve üretimdeki tek varyant haline geldi.
Bu varyantın, Spotlight’taki kötü amaçlı süreçlerini sistem süreçleri olarak gizleme ve böylece yasal süreçler gibi görünmesini sağlayarak tespit edilmekten kaçınma yeteneğine sahip olduğu bildiriliyor.
Bunun dışında, en son sürümün yeni bir numarası var, bu da tespit edilmesini daha da zorlaştırıyor. Sürekli olarak arka planda çalışan ve Activity Monitor’ü izleyen bir komut dosyasıdır.
Bu kötü amaçlı yazılım, varlığını kullanıcının incelemelerinden gizlemek için başlatıldığı anda tüm işlemlerini sonlandırır.
Apple’ın ‘Ventura’ Stratejisi
Apple’ın en yeni macOS sürümü olan “Ventura”, gelişmiş kod imzalama doğrulama protokolleri getiriyor. Bu protokoller, güvenlik önlemlerini artırır ve özellikle korsan sürümler olmak üzere kullanıcı tarafından başlatılan uygulamalarda gizlenmiş kötü amaçlı yazılımların çalıştırılmasını zorlaştırır.
Final Cut Pro’nun korsan sürümlerinin dağıtımından sorumlu kişiler benzersiz bir yaklaşım kullanmışlardır.
Yazılımı tamamen değiştirmek yerine, orijinal kod imzalama sertifikasını koruyarak kısmi değişiklikler yaptılar. Bu yöntem, kullanıcıların herhangi bir farklılığı tespit etmesini zorlaştırarak orijinallik görünümünü korumalarına olanak tanır.
Apple, bu özel kötü amaçlı yazılım türünün varlığını kabul etti ve bunun kullanıcı sistemleri üzerindeki etkisini azaltmak için adımlar attı. Şirket, kötü amaçlı kodları etkili bir şekilde tespit etmek ve engellemek için XProtect antivirüs yazılımına hedefli güncellemeler geliştiriyor.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin