Kötü Amaçlı Yazılım Cuckoo – Bir Bilgi Avcısı Casus Yazılımı MacOS’tan Veri Çalıyor

   Mayıs 1, 2024  Posted in CyberSecurityNews


Kötü Amaçlı Yazılım Cuckoo – Daha Önce Bilinmeyen Infosteler Casus Yazılımı MacOS'tan Veri Çaldı

Güvenlik araştırmacıları, macOS için hem bilgi hırsızı hem de casus yazılım özellikleri sergileyen, daha önce tespit edilmemiş bir kötü amaçlı yazılım tehdidini ortaya çıkardı. Kuluçka paraziti kuştan dolayı “Guguk kuşu” olarak adlandırılan bu kötü niyetli kod, sistemlere sızıyor ve kendi çıkarları için kaynakları çalıyor.

Kötü amaçlı yazılım ilk olarak 24 Nisan 2024’te, müziği Spotify’dan MP3 formatına dönüştürdüğünü iddia eden bir uygulama olan “DumpMediaSpotifyMusicConverter” olarak gizlenen bir Mach-O ikili dosyasında tespit edildi. Analiz, Cuckoo’nun hem Intel hem de ARM tabanlı Mac’lerde çalışabilen evrensel bir ikili program olduğunu ortaya koyuyor.

Guguk Kuşunun Sızma Taktikleri

Kötü amaçlı yazılım, dumpmedia’dan indirilen bir disk görüntüsü (DMG) dosyası aracılığıyla dağıtılır[.]com web sitesi. Kurulduktan sonra tespit edilmekten kaçınmak ve virüslü sistemin geçerli bir hedef olup olmadığını belirlemek için bir dizi kontrol gerçekleştirir.

Kandji’nin araştırmacıları, Cuckoo’nun sistemin evrensel benzersiz tanımlayıcısını (UUID) sorguladığını ve cihazın yerel ayarlarını kontrol ettiğini buldu. Özellikle Ermenistan, Beyaz Rusya, Kazakistan, Rusya ve Ukrayna’da bulunan sistemleri arayarak bu bölgelerdeki makinelere bulaşmayı önlüyor.

Geçerli bir hedef olarak görülmesi durumunda Cuckoo, veri sızdırma ve gözetim rutinlerini başlatır. Aşağıdakiler de dahil olmak üzere çok çeşitli hassas bilgileri çalmak üzere programlanmıştır:

  • Parolaları ve şifreleme anahtarlarını içeren anahtarlık verileri
  • Ekran görüntüleri ve web kamerası anlık görüntüleri
  • Geçmişe ve çerezlere göz atma
  • WhatsApp ve Telegram günlükleri gibi mesajlaşma uygulaması verileri
  • Kripto para cüzdanı ayrıntıları
  • SSH anahtarları ve diğer kimlik doğrulama bilgileri

Çalınan veriler daha sonra kötü amaçlı yazılım operatörleri tarafından kontrol edilen bir komuta ve kontrol sunucusuna sızdırılıyor.

Kalıcı bir varlığı sürdürmek için Cuckoo, yeniden başlatmalarda varlığını sürdüren bir başlatma aracısı yükler. Ayrıca ağ trafiğini şifrelemek ve kötü amaçlı bileşenleri yalnızca belirli koşullar yerine getirildiğinde çalıştırmak gibi çeşitli kaçırma taktiklerini de kullanır.

Belge

Etkili Kötü Amaçlı Yazılım Analizi için ANY.RUN’u Şirketinize Entegre Edin

SOC, Tehdit Araştırması veya DFIR departmanlarından mısınız? Öyleyse, 400.000 bağımsız güvenlik araştırmacısından oluşan çevrimiçi topluluğa katılabilirsiniz:

  • Gerçek Zamanlı Tespit
  • İnteraktif Kötü Amaçlı Yazılım Analizi
  • Yeni Güvenlik Ekibi Üyelerinin Öğrenmesi Kolay
  • Maksimum veriyle ayrıntılı raporlar alın
  • Linux’ta ve tüm Windows İşletim Sistemi Sürümlerinde Sanal Makineyi Kurma
  • Kötü Amaçlı Yazılımlarla Güvenli Bir Şekilde Etkileşim Kurun

Tüm bu özellikleri şimdi sanal alana tamamen ücretsiz erişimle test etmek istiyorsanız:


Kandji’nin Siber Güvenlik Başkanı Rick Bradshaw, “Guguk kuşu, hassas verileri süpürmek için bilgi hırsızlığı yeteneklerini casus yazılımın gözetleme özellikleriyle birleştiren gelişmiş, çok aşamalı bir tehdittir” dedi. “Kaçınma teknikleri ve hedefli yapısı da onu güçlü bir tehdit haline getiriyor.”

Önleme ve Müdahale

Kandji ve diğer güvenlik firmaları, Cuckoo’yu tespit etmek ve engellemek için tespitlerini güncelledi. Ancak bu tür tehditlerin önlenmesi katmanlı bir savunma yaklaşımını gerektirir:

  • Yazılımı güncel ve yamalı tutun
  • Saygın kötü amaçlı yazılımdan koruma araçlarını kullanın
  • Güvenilmeyen kaynaklardan uygulama indirmekten kaçının
  • Uç nokta algılama ve yanıt (EDR) çözümlerini uygulayın

Etkilenen sistemlerin yalıtılması, açığa çıkan kimlik bilgilerinin değiştirilmesi ve Cuckoo ile keşfedilen diğer kötü amaçlı yazılımların kaldırılması için çalışma yaparak, kuruluşların olay müdahale prosedürlerini başlatması gerekir.

Bu keşif, macOS tehditlerinin artan karmaşıklığını ve masaüstü platformlarda bile güçlü güvenlik kontrollerine duyulan ihtiyacı vurguluyor. Kandji’nin analizi, Cuckoo’nun siber güvenlik topluluğunun bu istilacı kötü amaçlı yazılım guguk kuşuna karşı savunmasına yardımcı olmak için nasıl çalıştığına dair ayrıntılı bir bakış sunuyor.

Uzlaşma Göstergeleri

DMGS

  • Spotify-müzik-dönüştürücü.dmg: 254663d6f4968b220795e0742284f9a846f995ba66590d97562e8f19049ffd4b

MACH-OS

  • DumpMediaSpotifyMusicConverter: 1827db474aa94870aafdd63bdc25d61799c2f405ef94e88432e8e212dfa51ac7
  • TuneSoloAppleMusicConverter: d8c3c7eedd41b35a9a30a99727b9e0b47e652b8f601b58e2c20e2a7d30ce14a8
  • TuneFunAppleMusicConverter: 39f1224d7d71100f86651012c87c181a545b0a1606edc49131730f8c5b56bdb7
  • FoneDogToolkitForAndroid: a709dacc4d741926a7f04cad40a22adfc12dd7406f016dd668dd98725686a2dc

ALANLAR/IPS

  • http://146[.]70[.]80[.]123/statik[.]php
  • http://146[.]70[.]80[.]123/indeks[.]php
  • http://tunesolo[.]iletişim
  • http://fonedog[.]iletişim
  • http://tunesfun[.]iletişim
  • http://dumpmedia[.]iletişim
  • http://tunefab[.]iletişim

On-Demand Webinar to Secure the Top 3 SME Attack Vectors: Watch for Free



Source link