Crackli yazılımların truva atı haline getirilmiş sürümlerini dağıtan yetkisiz web sitelerinin, Apple macOS kullanıcılarına yeni bir virüs bulaştırdığı tespit edildi. Trojan-Proxy kötü amaçlı yazılım.
Kaspersky, “Saldırganlar bu tür kötü amaçlı yazılımları bir proxy sunucu ağı oluşturarak para kazanmak veya kurban adına suç teşkil eden eylemler gerçekleştirmek için kullanabilir: web sitelerine, şirketlere ve bireylere saldırılar düzenlemek, silah, uyuşturucu ve diğer yasa dışı malları satın almak.” güvenlik araştırmacısı Sergey Puzan şunları söyledi.
Rus siber güvenlik firması, Windows ve Android için ortaya çıkarılan ve korsan araçlarla desteklenen yapılar nedeniyle kötü amaçlı yazılımın platformlar arası bir tehdit olduğunu gösteren kanıtlar bulduğunu söyledi.
MacOS çeşitleri meşru multimedya, resim düzenleme, veri kurtarma ve üretkenlik araçları kisvesi altında yayılır. Bu durum, kampanyanın hedefinin korsan yazılım arayan kullanıcılar olduğunu gösteriyor.
Kodu Kırmak: Siber Saldırganların İnsan Psikolojisinden Nasıl Yararlandığını Öğrenin
Sosyal mühendisliğin neden bu kadar etkili olduğunu hiç merak ettiniz mi? Yaklaşan web seminerimizde siber saldırganların psikolojisinin derinliklerine dalın.
Şimdi Katıl
Disk görüntüsü (.DMG) dosyaları olarak sunulan orijinal, değiştirilmemiş muadillerinin aksine, hileli sürümler, kurulum sonrası kötü niyetli davranışı etkinleştiren bir kurulum sonrası komut dosyasıyla donatılmış olarak gelen .PKG yükleyicileri biçiminde teslim edilir.
Puzan, “Yükleyici sık sık çalışmak için yönetici izinleri istediğinden, yükleyici işlemi tarafından çalıştırılan komut dosyası bunları devralır” dedi.
Kampanyanın nihai hedefi, tespit edilmekten kaçınmak için kendisini macOS’ta WindowServer işlemi olarak maskeleyen Trojan-Proxy’yi başlatmaktır. WindowServer, pencere yönetiminden ve uygulamaların grafik kullanıcı arayüzünü (GUI) oluşturmaktan sorumlu bir çekirdek sistem işlemidir.
Başlangıçta, HTTPS protokolünü kullanarak DNS isteklerini ve yanıtlarını şifreleyerek HTTPS üzerinden DNS (DoH) aracılığıyla bağlanılacak komut ve kontrol (C2) sunucusunun IP adresini almaya çalışır.
Trojan-Proxy daha sonra C2 sunucusuyla bağlantı kurar ve bağlanılacak IP adresini, kullanılacak protokolü ve gönderilecek mesajı ayrıştırmak için gelen mesajları işlemek de dahil olmak üzere daha fazla talimat bekler ve TCP aracılığıyla bir proxy görevi görme yeteneğinin sinyalini verir. veya trafiği virüslü ana bilgisayar üzerinden yeniden yönlendirmek için UDP.
Kaspersky, VirusTotal tarama motoruna yüklenen kötü amaçlı yazılım örneklerini 28 Nisan 2023 gibi erken bir tarihte bulduğunu söyledi. Bu tür tehditleri azaltmak için kullanıcılara güvenilmeyen kaynaklardan yazılım indirmekten kaçınmaları öneriliyor.