DigitStealer adlı yeni bir bilgi hırsızı Mac kullanıcılarının peşine düşüyor. Algılanmayı önler, eski cihazları atlar ve dosyaları, şifreleri ve tarayıcı verilerini çalar. Ne yaptığını ve Mac’inizi nasıl koruyacağınızı açıklıyoruz.
Araştırmacılar, DigitStealer adlı, macOS kullanıcılarından hassas bilgileri çalan yeni bir kötü amaçlı yazılım tanımladılar.
Bu varyant, gelişmiş tespit-kaçınma teknikleri ve çok aşamalı bir saldırı zinciriyle birlikte gelir. Bilgi hırsızlarının çoğu aynı türdeki verilerin peşine düşer ve bunları elde etmek için benzer yöntemler kullanır, ancak DigitStealer dikkat çekecek kadar farklıdır.
Birkaç şey onu öne çıkarıyor: platforma özgü hedefleme, dosyasız işlem ve anti-analiz teknikleri. Hepsi birlikte Mac kullanıcıları için nispeten yeni zorluklar yaratıyor.
Saldırı, meşru şirketin sitesi yerine sahte bir web sitesinde barındırılan, “DynamicLake” adlı yardımcı program uygulaması kılığında bir dosyayla başlıyor. Kullanıcıları kandırmak için, DigitStealer’ın indirilmesini ve kurulumunu başlatacak olan bir dosyayı Terminal’e sürüklemeniz talimatını verir.
Sisteminiz belirli bölgelerle eşleşiyorsa veya sanal bir makineyse, kötü amaçlı yazılım çalışmaz. Bu muhtemelen araştırmacıların analizlerini engelleyecek ve kendi ülkesindeki insanlara bulaştırmayı engelleyecektir ki bu da bazı ülkelerde hapishaneden uzak durmak için yeterlidir. Ayrıca kendisini M2 yongaları veya daha sonraki sürümlerle sunulan daha yeni ARM özelliklerine sahip cihazlarla da sınırlandırıyor. çipler, eski Mac’ler, Intel tabanlı çipler ve çoğu sanal makine atlanıyor.
Saldırı zinciri büyük ölçüde dosyasız olduğundan etkilenen makinede pek fazla iz bırakmaz. Sabit sürücüdeki yükü çalıştıran dosya tabanlı saldırıların aksine, dosyasız saldırılar yükü Rasgele Erişim Belleğinde (RAM) yürütür. Kötü amaçlı kodu sabit sürücü yerine doğrudan bellekte çalıştırmanın saldırganlar için çeşitli avantajları vardır:
- Geleneksel güvenlik önlemlerinden kaçınılması: Dosyasız saldırılar antivirüs yazılımını ve dosya imzası tespitini atlayarak geleneksel güvenlik araçları kullanılarak tespit edilmelerini zorlaştırır.
- Düzeltmek daha zor: Dosyasız saldırılar dosya oluşturmadığından, tespit edildikten sonra kaldırılmaları daha zor olabilir. Bu, adli bilişimin bir saldırıyı kaynağa kadar takip etmesini ve sistemi güvenli bir duruma geri getirmesini daha da zorlaştırabilir.
DigitStealer’ın ilk yükü şifrenizi ister ve belgeleri, notları ve dosyaları çalmaya çalışır. Başarılı olursa bunları saldırganların sunucularına yükler.
Saldırının ikinci aşaması, Chrome, Brave, Edge, Firefox ve diğerlerinden gelen tarayıcı bilgilerinin yanı sıra anahtarlık şifreleri, kripto cüzdanları, VPN yapılandırmaları (özellikle OpenVPN ve Tunnelblick) ve Telegram oturumlarını hedef alıyor.
Mac’inizi nasıl korursunuz?
DigitStealer, Mac kötü amaçlı yazılımlarının nasıl gelişmeye devam ettiğini gösteriyor. Saldırısını aşamalara ayırması, yeni Mac donanımını hedef alması ve neredeyse hiç iz bırakmaması nedeniyle diğer bilgi hırsızlarından farklıdır.
Ancak yine de kendinizi koruyabilirsiniz:
- Terminalde ne çalıştırdığınıza her zaman dikkat edin. İstenmeyen mesajlardaki talimatları takip etmeyin.
- Uygulamaları nereden indirdiğinize dikkat edin.
- Yazılımınızı, özellikle işletim sisteminizi ve güvenlik savunmanızı güncel tutun.
- Çalınan bir şifrenin hesaplarınıza sızmaya yetmemesi için çok faktörlü kimlik doğrulamayı açın.
Yalnızca tehditleri rapor etmiyoruz; onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.