macOS Kötü Amaçlı Yazılımı Unarchiver Uygulaması Kılığına Girerek Kullanıcı Verilerini Çalıyor


macOS Kötü Amaçlı Yazılımı Unarchiver Uygulaması Kılığına Girerek Kullanıcı Verilerini Çalıyor

Arşiv açma uygulamaları dosyaları çıkarmak için yaygın olarak kullanıldığından ve güvenilir olduğundan, tehdit aktörleri genellikle kötü amaçlı yazılımları ve diğer kötü amaçlı dosyaları yaymak için bunları kötüye kullanırlar.

Güvenlik analistleri yakın zamanda, tehdit aktörlerinin kullanıcı verilerini çalmasına olanak tanıyan, kendisini “Unarchiver” uygulaması olarak gizleyen macOS kötü amaçlı yazılımını ortaya çıkardı.

DÖRT

Rutin bir araştırma sırasında, Hunt.io’daki siber güvenlik uzmanları theunarchiver olarak gizlenen bir kimlik avı sitesi keşfettiler[.]com. Bu site şüpheli bir disk görüntüsü sunuyor (TheUnarchiver.dmg).

Bu web sitesi ile gerçek web sitesi arasındaki tek fark, değiştirilen indirme butonu ve alan adıydı (tneunarchiver[.](com).

How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide

macOS Kötü Amaçlı Yazılım Unarchiver Kılığına Girdi

Hatching Triage’den alınan düşük risk puanlarına (1/10) ve VirusTotal’da herhangi bir tespite rağmen, aldatıcı alan adı ve kopyalanmış web sayfası nedeniyle önemli bir şüphe bulunmaktadır.

The Unarchiver uygulamasını taklit eden sahte bir web sitesi (Kaynak – Hunt.io)

Daha önce bu tür girişimlerde, kimlik avı yoluyla orijinal yazılım programları dağıtmak gibi benzer taktikler kullanılmış olsa da, bu tür durumların dikkatli bir şekilde değerlendirilmesi gerekir.

Sonuç olarak, ilk tarama işlemleri sırasında fark edilemeyebilecek olası daha sonraki kötü amaçlı eylemleri ortaya çıkarmak için disk görüntüsünün kapsamlı bir analizi yapılmalıdır; çünkü yapay olarak düşük puanlar, yürütme sırasındaki hatalardan kaynaklanabilir veya yanıltıcı olabilir.

Patrick Wardle’ın ‘WhatsYourSign’ aracını kullanarak TheUnarchiver.dmg için imza bilgilerini kontrol etme (Kaynak – Hunt.io)

Şüpheli “CryptoTrade” macOS dosyasında bulunan imzasız bir disk görüntüsünün içerisinde hem ARM hem de Intel mimarileri için tasarlanmış bir makine kodu keşfedildi.

CryptoTrade dosyası için WhatsYourSign sonucu (Kaynak – Hunt.io)

Swift dili kullanılarak derlenmiştir; macOS 14.5 (Mayıs 2024) üzerinde oluşturulurken ad-hoc imzalama yapılmıştır.

İçeriğindeki Info.plist dosyası ve paylaşılan kütüphaneler de dahil olmak üzere yapılan incelemeler kötü niyetli olduğunu gösteriyor.

hdiutil kullanılarak bağlandıktan sonra dmg dosyasının içeriği (Kaynak – Hunt.io)

Kullanıcıların şifrelerini ele geçirmek için kullanıldığı düşünülen kodların varlığından aldatıcı kurulum işlemleri anlaşılabilir.

Dize çıktısında bir URL bulundu (https://cryptomac[.]dev/download/grabber.zip) daha fazla kötü amaçlı yazılımın mevcut olabileceğini gösterir.

Bu uyarı işaretlerine rağmen VirusTotal sağlayıcıları, analiz sanal ortamlarında kullanılan eski macOS sürümleriyle uyumsuz olabileceğinden, bunu kötü amaçlı yazılım olarak işaretlemeyi başaramadı.

VirusTotal tarafından tespit edilemeyen “grabber.zip” dosyası, kullanıcı bilgilerini çalmak için tasarlanmış 10 adet shell scripti içeriyor.

Ana betik, kullanıcının Kütüphane klasöründe bir dizin oluşturur, IP bilgilerini toplar ve çeşitli veri toplama betiklerini çalıştırır.

Çalınan veriler daha sonra sıkıştırılır ve uzak bir sunucuya gönderilir. Dikkat çekici özellikler arasında kötü amaçlı yazılımın kökenini ima eden bir betikteki Rusça yorumlar yer alır.

Amos ve Poseidon’a benzer şekilde macOS’u hedef alan bu hırsız, The Unarchiver uygulamasını taklit ediyor, Swift kullanıyor ve verileri ortak bir URL yoluna (/api/index.php) sızdırıyor, ancak güvenlik sağlayıcıları tarafından tespit edilemiyor.

Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access



Source link