MacOS Kullanıcılarına Saldıran Yeni Kötü Amaçlı Yazılım


Araştırmacılar, BlueNoroff APT grubu ve devam eden RustBucket kampanyasıyla ilişkili, Truva atı saldıran yeni bir macOS kullanıcısını ortaya çıkardı.

Lazarus’un bir alt grubu olan BlueNoroff, tersine mühendislik uzmanlığına sahiptir çünkü önemli miktarda para çalmanın yollarını ortaya çıkarmak için SWIFT Alliance yazılımını analiz etmek ve yamalamak için zaman harcamanın yanı sıra yasal yazılımları parçalamak için de zaman harcıyorlar.

Finansal odaklı bu tehdit aktörü ATM’leri, POST yazılımını ve kripto para birimi işletmelerini, bankaları, kumarhaneleri ve finans teknolojisi kuruluşlarını hedef alıyor. Bangladeş Merkez Bankası’nın çalınması gibi büyük mali saldırılar bu aktörle ilişkilendirildi.

BlueNoroff macOS Kullanıcılarını Hedefliyor

Yeni yükleyici varyasyonundan ilk olarak X’teki (eski adıyla Twitter) bir gönderide bahsedilmişti.

X’te bahsedilen yeni yükleyici varyasyonu

Kötü amaçlı bir veri, PDF görüntüleyici gibi davranan bir uygulama kullanılarak önceki RustBucket sürümleri aracılığıyla dağıtılmıştı.

Kaspersky’ye göre bu yeni tür, “Kripto varlıklar ve finansal istikrara yönelik riskleri” başlıklı bir PDF dosyası ve eşleşen başlık sayfasının küçük resmini içeren bir ZIP paketinde keşfedildi.

Uygulama yapısı
Uygulama Yapısı

Araştırmacılara göre arşivin tam olarak nasıl yayıldığı belli değil. Hedefler, önceki saldırılara benzer şekilde suçlulardan bir e-posta almış olabilir. Keşfedildiği sırada uygulamanın imzası hâlâ geçerliydi ancak sertifikanın süresi dolmuştu.

Apple ve Intel silikon çiplerine yönelik versiyonları olan, evrensel formatta yürütülebilir bir dosya olan “EdoneViewer” Swift ile yazılmıştır. Ana işlev CalculateExtameGCD, XOR ile şifrelenmiş yükün şifresinin çözülmesinden sorumludur.

Uygulama, şifre çözme prosedürü devam ederken terminale alakasız bildirimler göndererek analistin dikkatini azaltmaya çalışıyor.

.pw dosyası keşfedilen bir Truva atıdır; tıpkı yükleyici gibi evrensel formatta bir dosyadır. Dosya aşağıdaki sistem bilgilerini toplar ve C&C’ye iletir:

  • Bilgisayar adı
  • OS sürümü
  • Saat dilimi
  • Cihaz başlatma tarihi
  • İşletim sistemi kurulum tarihi
  • Şimdiki zaman
  • Çalışan işlemlerin listesi

Truva atı yanıt olarak üç komuttan birini bekler:

Ancak soruşturma sırasında araştırmacıların sunucudan tek bir komut bile alamamaları, bir sonraki saldırı aşaması için içeriği öğrenmelerini engelledi. Şu anda kötü amaçlı yazılımdan koruma programlarının çoğu Truva atını tanımlayabiliyor.



Source link