Yarım on yılı aşkın bir süredir macOS çalıştıran sistemleri hedef alan iyi bilinen bir kötü amaçlı yazılım olan AdLoad’un, sahiplerinin haberi olmadan sistemlerini yerleşik bir proxy botnet’e kaydettiren yeni bir yük sağladığı gözlemlendi.
Vahşi doğada buldukları 150’den fazla kötü amaçlı yazılım örneğini analiz eden AT&T Alien Labs tehdit istihbaratı araştırmacılarına göre, birçok cihaza virüs bulaştı.
“Alien Labs, her hafta proxy sunucularına ulaşan ve proxy çıkış düğümleri olma potansiyeline sahip 10.000’den fazla IP belirledi. Tüm bu sistemlere virüs bulaşıp bulaşmadığı veya sistemlerini gönüllü olarak vekil olarak sunup sunmadığı net değil, ancak bu, küresel olarak daha büyük bir enfeksiyonun göstergesi olabilir.”
AdLoad macOS kötü amaçlı yazılımı
AdLoad, kullanıcının web trafiğini reklam yazılımı operatörlerinin sahip olduğu sunucular aracılığıyla yeniden yönlendirmek için bir web proxy yükleyen reklam yazılımıdır, böylece arama motoru sonuçlarını ele geçirebilir ve kullanıcı tarafından görüntülenen sayfalara belirli reklamlar ekleyebilirler (böylece web sitesi sahiplerinden reklam gelirini çekerler) .
AdLoad ayrıca ek yükler için bir indirici işlevi görür: PUA’lar, diğer reklam yazılımları (örn. Mughthesec), tarayıcı uzantıları ve diğer proxy uygulamaları.
AdLoad, son derece kaçamak ve ısrarcı olmasıyla bilinir. Yıllar boyunca geliştiricileri, yerleşik macOS güvenlik araçlarından ve üçüncü taraf antivirüs programlarından saklanmak ve sistem yeniden başlatmalarına kadar devam etmek için onu akıllı tekniklerle donattı.
AdLoad, Mac’leri proxy’lere dönüştürüyor
AT&T Alien Labs araştırmacıları, Haziran 2023’te vahşi doğada tespit edilen en son AdLoad örneğinin birçok varyantını analiz etti.
Bu AdLoad örneği yürütüldükten sonra, sistemin UUID’si (Evrensel Olarak Benzersiz Tanımlayıcı) dahil olmak üzere sistem bilgilerini toplar ve bulaşmayı bildirmek için bir AdLoad sunucusuna bağlanır.
“AdLoad sunucusuna işaretlendikten sonra, örnek farklı bir alana, genellikle vpnservices’e ulaşıyor[.]canlı veya yükseltici[.]canlı, bir proxy sunucusunun C&C’si gibi görünüyor,” diye açıkladı araştırmacılar.
“İstek, diğer kodlanmış parametrelerin yanı sıra virüslü makinenin UUID’sini bir parametre olarak taşır. Bu istek, genellikle digitaloceanspaces’te indirilecek dosyanın bir bağlantısıyla yanıt verir.[.]com. Ayrıca, kullanılacak ortamı ve yükün sürüm numarasını da içerir.”
AdLoad bulaşma süreci. (Kaynak: AT&T Alien Labs)
Kötü amaçlı yazılım daha sonra (konut) proxy uygulamasını indirir, dosyaları açar, onları macOS Gatekeeper’a görünür kılan karantina özniteliğini kaldırır ve yeni bir klasöre taşır.
“Proxy uygulaması zaten çalışıyorsa, kötü amaçlı yazılım onu öldürür ve ardından arka planda çalıştırır. Yürütülmesi sırasında, AdLoad kendisini genellikle kuruluş tarafından oluşturulan kuruluş adına sahip bir Başlatma Aracısı olarak kurarak kalıcılık kazanır.[random long string].plist, Uygulama Desteği klasöründe yürütülebilir proxy uygulamasına işaret ediyor,” diye açıkladı araştırmacılar.
Son olarak, ana bilgisayarlar bir proxy sunucusu olarak çalışmaya başlar.
AT&T Alien Labs, proxy sunucu düğümleri olarak hizmet veren etki alanlarını proxy hizmetleri satan küçük bir işletmeye kadar takip etti. “Konut proxy sistemleri için bu botnet kullanıcılarının arkasındaki niyetler hala belirsiz, ancak şimdiye kadar SPAM kampanyaları yayınladığı tespit edildi” dediler.
Araştırmacılar ayrıca, bu botnet’teki tüm makinelerin Mac olmadığını, çünkü aynı zamanda proxy görevi gören Windows örneklerini de tespit ettiklerini öne sürdüler. Kurumsal güvenlik personelinin yönetilen sistemlerdeki virüsleri tespit etmesine yardımcı olmak için AdLoad örneklerinin ve proxy uygulamasının sistemden nasıl kaldırılacağına ilişkin tavsiyelerin yanı sıra YARA kuralları ve IOC’ler sağladılar.
Saldırganlar giderek daha fazla Mac’leri hedefliyor
Windows tabanlı sistemler uzun süredir siber suçlular için birincil hedef olmuştur, ancak giderek daha fazla tüketici ve kuruluş Mac kullandığından, macOS için özel kötü amaçlı yazılımlar artmaktadır.
“Apple cihazlarını yöneten bir şirket olan Jamf tarafından yapılan bir ankete göre, 2020’de birincil cihazları olarak Mac kullandığını bildiren kurumsal kuruluşların oranı 2019’da %17’den %23’e yükseldi. Bu sayılar daha da artmış olabilir. Accenture analistleri, 2020 raporundan bu yana güvenlik duruşlarını bu yeni ortaya çıkan tehdide karşı ayarlamadıkları takdirde işletmeleri savunmasız bırakıyor” dedi.
“macOS’un küresel olarak kurumsal altyapıda oynadığı görece daha küçük rol ve Apple işletim sistemini hedeflemek için gereken daha gelişmiş ve niş beceriler nedeniyle, macOS ile ilgili önceki faaliyetin kapsamı sınırlıydı. Ancak 2022’de ve 2023’ün ilk yarısında macOS hedefleme etkinliği yoğunlaştı.”
Tehdit aktörleri, macOS’e özgü bilgi hırsızı türlerini ve istismarlarını (sıfır gün dahil) geliştirmeye ve dağıtmaya başladı ve macOS sistemlerini hedefleyen araçlar ve hizmetler satıyor.
Ayrıca, macOS Gatekeeper’ı atlayan saldırıları giderek daha fazla gerçekleştiriyorlar ve fidye yazılımı grupları, popüler işletim sistemini hedef alan fidye yazılımı varyantları üzerinde çalışmaya başladı.