Tiny FUD olarak bilinen yeni, son derece sofistike bir kötü amaçlı yazılım tanımlanmıştır, bu da MacOS kullanıcılarını geleneksel antivirüs ve güvenlik araçlarını atlamasına izin veren gelişmiş kaçaklama tekniklerine sahip.
Bu kötü amaçlı yazılım, tespit edilmemiş kalacak şekilde işlem adı sahtekarlığı, dyld enjeksiyon ve C2 tabanlı komut yürütmesinden yararlanır.
Bu kötü amaçlı yazılım, antivirüs ve güvenlik araçlarını atlama yeteneği nedeniyle özellikle tehlikelidir, bu da neredeyse tespit edilemez hale getirir.
DenWP araştırma ekibi, küçük fudun, tespitten kaçınmak için birkaç gizli mekanizma kullanan “tamamen tespit edilemez” (FUD) olarak tasarlandığını belirtti.
Saldırı zinciri
Kolay (Die) tespit edin, ikili macos araçlarıyla, muhtemelen Xcode ile gelişimini ortaya çıkararak ikili statik bir analizini kolaylaştırdı.
Codesign’ın varlığı, Potansiyel olarak Gatekeeper ve SIP gibi macOS güvenlik özelliklerini atlamak için ikili imzalandığını gösterir.
.webp)
Bu içgörü, kötü amaçlı yazılımların kökenini ve kaçırma stratejilerini belirlemeye yardımcı olur.
- Proses Adı Sahtekarlık: Kötü amaçlı yazılım, süreç adını meşru Apple hizmetlerini taklit etmek için değiştirir, örneğin
com.apple.Webkit.Networking–com.apple.Safari.helper–com.apple.security.agentveyacom.apple.system.events.
Bu kullanılarak elde edilir osascript Komut, etkinlik monitöründe tanımlanmayı zorlaştırır.
.webp)
osascript -e 'tell application "System Events" to set name of first process whose unix id of (processes) is (unix id of (current application)) to "com.apple.Webkit.Networking"'- Dyld enjeksiyonu: Tiny FUD, kötü amaçlı kütüphaneleri meşru süreçlere enjekte etmek için dyld ortam değişkenini kullanır. Bu teknik, CVE-2022-26712 gibi güvenlik açıklarından yararlanır ve
DYLD_INSERT_LIBRARIESÇevre değişkeni.
DYLD_INSERT_LIBRARIES=/System/Library/PrivateFrameworks/ShoveService.framework/ShoveService- C2 Komut yürütme: Kötü amaçlı yazılım, bir komut ve kontrol (C2) sunucusu ile sabit kodlu bir IP adresinde bir bağlantı kurar (
69[.]197[.]175[.]10:9999) komutları almak ve yürütmek için. Bu, ekran görüntülerini yakalamayı ve bunları C2 sunucusuna geri göndermeyi içerir.
// Hardcoded C2 IP and Port
char *c2_ip = "69.197.175.10";
int c2_port = 9999;Kötü amaçlı yazılım, kendini imzalayarak gizli mekanizmalar kullanır, böylece ek çalışma zamanı hakları ile istifa eder.
.webp)
Bu işlem, kötü amaçlı yazılımların yürütülebilir sayfa korumasını devre dışı bırakmasına ve XML tabanlı bir yetkilendirmeler dosyası oluşturarak elde ettiği dyld ortam değişkenlerini etkinleştirmesine olanak tanır.
com.apple.security.cs.allow-unsigned-executable-memory
com.apple.security.cs.disable-executable-page-protection
com.apple.security.cs.allow-dyld-environment-variables
com.apple.security.get-task-allow
com.apple.security.cs.debugger
Kötü amaçlı yazılım, SetFile komutunu kullanarak görünmez özelliği ayarlayarak Finder’dan gizlenir.
SetFile -a V "/path/to/malware"Kullanıcıların uyanık kalmaları ve sistemlerinin en son güvenlik yamalarıyla güncellenmelerini sağlamaları tavsiye edilir. Ayrıca, bu tür gizli kötü amaçlı yazılımları tespit edebilen ve hafifletebilen gelişmiş güvenlik araçlarının kullanılması çok önemlidir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free