Kullanıcıların ücretsiz çevrimiçi PDF dönüşüm araçlarına olan güvenini kullanan ve siber suçluların modern güvenlik önlemlerini atlamak için taktiklerini nasıl geliştirmeye devam ettiğini gösteren gelişmiş yeni bir MAC kötü amaçlı yazılım kampanyası ortaya çıktı.
Siber güvenlik firması Mosyle, keşif sırasında Virustotal’da sıfır algılama elde eden daha önce bilinmeyen bir MAC kötü amaçlı yazılım suşu olan Jscorerunner’ın keşfini sadece açıkladı.
Kötü amaçlı yazılım, FileriPple adlı kötü niyetli bir web sitesi aracılığıyla yayılır[.]Meşru bir PDF dönüşüm hizmeti olarak maskelenen kullanıcıları zararsız bir fayda gibi görünen şeyleri indirmek için maskelendirir.
Bu keşif, ücretsiz dosya dönüştürme hizmetlerinin popülaritesini kullanan daha geniş bir siber suçlu eğiliminin ortasında geliyor.
FBI’s Denver Saha Ofisi, bu tür web sitelerinden artan kötü amaçlı yazılım ve veri hırsızlığı riski hakkında uyarılar yayınladı ve saldırganların kullanıcıların günlük hızlı format uyumluluk çözümlerine olan ihtiyaçlarından nasıl yararlandığını vurguladı.
JScorerunner, Apple’ın yerleşik güvenlik korumalarından kaçınmak için tasarlanmış dikkatle düzenlenmiş iki aşamalı bir dağıtım süreciyle çalışır.
İlk aşama, kötü amaçlı etkinlikler arka planda sessizce yürütülürken, meşru görünümlü bir PDF araç önizlemesini gösteren sahte bir web görüntüsü göstererek ikna edici bir cephe oluşturan FileriPple.pkg adlı bir paket içerir.
Apple o zamandan beri bu ilk aşama için geliştirici sertifikasını iptal etse de, macOS’un paketi piyasaya sürmesini engellemesine rağmen, gerçek tehlike ikinci aşamada yatıyor.
İmzasız paket Safari14.1.2mojaveauto.pkg, standart imza doğrulama işleminden kaçınarak Güvenlik uyarılarını tetiklemeden yüklemesine izin vererek Gatekeeper’ın varsayılan korumalarını atlar.
Tarayıcı kaçırma ve veri hırsızlığı işlemleri
Bir kurbanın sistemine başarıyla kurulduktan sonra JSCorerunner, birincil hedefini gösterir: özellikle Google Chrome’a odaklanmış kapsamlı tarayıcı kaçırma.
Kötü amaçlı yazılım, hem varsayılan hem de ek kullanıcı profillerini tanımlamak için ~/kütüphane/uygulama desteği/google/chrome/dizinini metodik olarak geçirir.
Saldırı, arama URL’si, yeni sekme URL’si ve görüntüleme adı dahil kritik tarayıcı ayarlarını yeniden tanımlayan kötü amaçlı bir TemplateURL nesnesi oluşturulmayı içerir.
Bu manipülasyon, kullanıcıları bilgisi olmadan hileli arama motorlarına, anahtarlama yollarını açma, kimlik avı sitesi yönlendirmeleri ve kötü niyetli arama sonuçlarının tanıtımını etkili bir şekilde yönlendirir.
Gizli operasyonları sürdürmek için, kötü amaçlı yazılım, varlığını gizlemek için ek teknikler kullanır; bu, çarpışma kütüklerini baskılayan ve “son oturumu geri yükle” bildirim balonunu devre dışı bırakan kromlara geçer.
Mosyle Güvenlik Araştırma Ekibi, siber güvenlik profesyonellerinin bu tehdidi tanımlaması ve azaltması için kapsamlı teknik göstergeler sağlamıştır.
Kötü amaçlı yazılım numuneleri, ilk Fileripple.pkg yükleyicisinden gizlenmiş JavaScript yüklerine kadar farklı karma imzaları olan birden fazla bileşen içerir.
Komut ve kontrol altyapısı, standart kötü amaçlı yazılım protokollerini takip eder, yüklü yük, tarayıcı manipülasyon faaliyetlerine devam etmeden önce ilk olarak uzak sunucularla başarılı kurulumu onaylar.
Kötü amaçlı yazılım ayrıca gerçek kullanıcı hesabını tanımlayarak ve karantina niteliklerini kötü amaçlı uygulamalardan kaldırarak sofistike sistem bilgisini gösterir.
Büyüyen tehdit manzarası
Bu keşif, MAC-hedefli kötü amaçlı yazılım kampanyalarında bir eğilimle ilgili bir parçayı temsil etmektedir. Güvenlik araştırmacıları, geleneksel programlama dilleri kullanan tehdit aktörleri ve geleneksel algılama yöntemlerini atlatmak için gelişmiş kaçış teknikleri ile Apple sistemlerini hedefleyen saldırılarda artan sofistike olduğunu belgelediler.
PDF dönüştürücüler gibi meşru görünen hizmetlerin sömürülmesi, siber suçlu taktiklerde daha geniş bir değişimi yansıtmaktadır.
Benzer kampanyalar, gerçekçi yükleme ekranları ve kötü amaçlı yükler dağıtmadan önce kullanıcı güvenini oluşturmak için CAPTCHA doğrulamaları ile birlikte popüler hizmetleri klonlayan sahte web siteleri kullanılarak belgelenmiştir.
Jscorerunner’ın ortaya çıkışı, MAC ortamları için çok katmanlı güvenlik yaklaşımlarının kritik öneminin altını çizmektedir.
Apple’ın Gatekeeper ve Xprotect gibi yerleşik korumaları temel güvenlik sağlarken, bu kötü amaçlı yazılımların ikinci aşamalı dağıtımının başarısı ek güvenlik önlemlerine ihtiyaç olduğunu göstermektedir.
Mosyle’nin bu sıfır günlük tehdidi algılaması, yeni saldırı vektörlerini tanımlayabilen özel Apple güvenlik çözümlerinin değerini vurgular.
Şirketin güvenlik araştırma ekibi, özellikle MAC ortamlarını hedefleyen gelişen tehditleri izlemeye devam ederek daha geniş siber güvenlik topluluğuna önemli zeka sağlıyor.
Koruma önerileri
Siber güvenlik uzmanları, MAC kullanıcıları için birkaç temel koruyucu önlemi vurgulamaktadır. Birincil öneriler arasında çevrimiçi dosya dönüştürme araçları için rastgele arama sonuçlarından kaçınmak ve bu tür hizmetler için yalnızca doğrulanmış resmi web sitelerini kullanmayı içerir.
Ayrıca, kuruluşlar yeni kötü amaçlı yazılım ailelerini tanımlayabilen kapsamlı uç nokta algılama çözümleri uygulamalıdır.
Sistem yöneticileri için, sağlanan karma imzalar, yönetilen MAC ortamlarında JSCorerunner bileşenlerinin proaktif engellenmesini ve algılanmasını sağlar.
Düzenli güvenlik bilinci eğitimi, ücretsiz çevrimiçi dönüşüm araçlarıyla ilişkili riskleri ve kurulumdan önce yazılım kaynaklarının doğrulanmasının önemini vurgulamalıdır.
JSCorerunner kampanyası, MAC kullanıcılarının, özellikle siber suçlular günlük bilgi işlem ihtiyaçlarını kullanmak için giderek daha akıllıca sosyal mühendislik taktikleri geliştirmeye devam ettikçe, sofistike kötü amaçlı yazılım saldırılarından muafiyetini alamadıklarını hatırlatıyor.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.