MacOS kullanıcılarına saldırmak için Visual Studio Güncellemesi olarak Kötü Amaçlı Yazılım Taklidi

   Şubat 12, 2024  Posted in CyberSecurityNews


Kötü amaçlı yazılım Visual Studio macOS

Rust’ta yazılmış yeni bir arka kapının, çeşitli ilginç özelliklere sahip macOS kullanıcılarını hedef aldığı keşfedildi. Dahası, Visual Studio Güncellemesi adı altında gizlenen 3 farklı arka kapı çeşidi bulunmuştur.

Arka kapı, x84_64 Intel ve ARM mimarileri için Mach-O dosyaları içeren FAT ikili dosyaları olarak dağıtılır. Buna ek olarak, arka kapının tarihi Kasım 2023’ün başına kadar uzanıyor ve en son örnek 2 Şubat 2024’te bulunuyor.

Belge

Canlı Hesap Devralma Saldırısı Simülasyonu

Canlı saldırı simülasyonu Web Semineri, hesap ele geçirmenin çeşitli yollarını gösterir ve web sitelerinizi ve API’lerinizi ATO saldırılarına karşı korumaya yönelik uygulamaları gösterir.


Visual Studio Güncellemesi Olarak Kötü Amaçlı Yazılım Taklidi

Bitdefender, örneklerin çoğunun küçük farklılıklarla aynı temel işlevlere sahip olduğunu söyledi. Tanımlanan örneklerin listesi aşağıdaki gibidir:

  • zshrc2
  • Önizleyiciler
  • VisualStudio Güncelleyici
  • VisualStudioUpdater_Patch
  • VisualStudioGüncelleniyor
  • görsel stüdyo güncellemesi
  • DO_NOT_RUN_ChromeGüncellemeleri

Tüm varyantlar aşağıdaki komutları destekler

  • not
  • kabuk
  • CD
  • mkdir
  • rm
  • rm
  • uyumak
  • yüklemek
  • robot öldürme
  • diyalog
  • görev öldürmek
  • indirmek

Varyant 1

Bunun, plist dosyası (test.plist) tarafından tanımlanan arka kapının test sürümü olduğu anlaşıldı. Ancak gömülü plist dosyasının, macOS için mekanizmaları ve korumalı alandan kaçınma tekniklerini açıklayan genel bir yazıdan kopyalanıp yapıştırıldığı tespit edildi.

Varyant 1 kaynak dosyaları (Kaynak: Bitdefender)
Varyant 1 kaynak dosyaları (Kaynak: Bitdefender)
Kalıcılık için oluşturulan .plist dosyası (Kaynak: Bitdefender)
Kalıcılık için oluşturulan .plist dosyası (Kaynak: Bitdefender)

Varyant 2

Bu ikinci değişkendeki dosya sayısı, karmaşık bir JSON yapılandırmasının yanı sıra verileri çıkarmak için yerleşik bir Apple Komut Dosyası içeren birkaç büyük dosyadan oluşur. Bu Apple komut dosyasının çeşitli varyantları bulunmuştu ve bunların tümü veri sızdırma amaçlıydı.

Varyant 1 kaynak dosyaları (Kaynak: Bitdefender)
Varyant 1 kaynak dosyaları (Kaynak: Bitdefender)

Ayrıca yapılandırma seçenekleri, bir iletişim kutusuyla yönetici parolasını taklit etmek için kimliğine bürünülecek uygulamaların bir listesini içerir.

Sıfır varyant

Bu, ilk kez 11 Kasım 2023’te ortaya çıkan en eski sürümdü. Bu, arka kapının en eski sürümü olduğundan Apple komut dosyasından ve yerleşik yapılandırmalardan yoksundur.

Bitdefender, BlackBasta ve (ALPHV/BlackCat) fidye yazılımı operatörlerine kadar takip edilen bir arka kapı hakkında kapsamlı bir rapor yayınladı. Rapor, arka kapının çeşitli çeşitleri, örnekleri, kaynak kodu ve diğer ilgili ayrıntıları hakkında derinlemesine bilgi içeriyor.

Uzlaşma Göstergeleri

İkili dosyalar

  • 6dd3a3e4951d34446fe1a5c7cdf39754 (VisualStudioUpdater_Patch)
  • 90a517c3dab8ceccf5f1a4c0f4932b1f (VisualStudioUpdater_Patch)
  • b67bba781e5cf006bd170a0850a9f2d0 (VisualStudio Güncelleniyor)
  • f5774aca722e0624daf67a2da5ec6967 (VisualStudioUpdater_Patch)
  • 52a9d67745f153465fac434546007d3a (Önizlemeciler)
  • 30b27b765878385161ca1ee71726a5c6 (DO_NOT_RUN_ChromeUpdates)
  • 1dbc26447c1eaa9076e65285c92f7859 (visualstudio güncellemesi)
  • 05a8583f36599b5bc93fa3c349e89434 (VisualStudio Güncelleyici)
  • 5d0c62da036bbe375cb10659de1929e3 (VisualStudio Güncelleyici)
  • 68e0facbf541a2c014301346682ef9ca (VisualStudio Güncelleyici)
  • b2bdd1d32983c35b3b1520d83d89d197 (zshrc2)
  • 5fcc12eaba8185f9d0ddecafae8fd2d1 (zshrc2)
  • 97cd4fc94c59121f903f2081df1c9981
  • 28bdd46d8609512f95f1f1b93c79d277
  • 3e23308d074d8bd4ffdb5e21e3aa8f22
  • 088779125434ad77f846731af2ed6781
  • b67f6e534d5cca654813bd9e94a125b9
  • cf54cba05efee9e389e090b3fd63f89b
  • 44fcf7253bcf0102811e50a4810c4e41
  • 690a097b0eea384b02e013c1c0410189
  • 186be45570f13f94b8de82c98eaa8f4f
  • 3c780bcfb37a1dfae5b29a9e7784cbf5
  • 925239817d59672f61b8332f690c6dd6
  • 9c6b7f388abec945120d95d892314ea7
  • 85cd1afbc026ffdfe4cd3eec038c3185
  • 6aaba581bcef3ac97ea98ece724b9092
  • bcbbf7a5f7ccff1932922ae73f6c65b7
  • bde0e001229884404529773b68bb3da0
  • 795f0c68528519ea292f3eb1bd8c632e
  • bc394c859fc379900f5648441b33e5fd
  • 0fe0212fc5dc82bd7b9a8b5d5b338d22
  • 835ebf367e769eeaaef78ac5743a47ca
  • bdd4972e570e069471a4721d76bb5efb

Alan adlarını indir

  • https[:]//sarkerrentacars[.]com/zshrc
  • https[:]//türkçemobilya[.]blog/Önizleyenler
  • http[:]//linksammosupply[.]com/zshrc2
  • http[:]//linksammosupply[.]com/VisualStudioUpdaterLs2
  • http[:]//linksammosupply[.]com/VisualStudioUpdater

C&C URL’leri

  • maconlineofisi[.]iletişim
  • 193.29.13[.]167
  • 88.214.26[.]22
  • https://serviceicloud[.]iletişim

Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.





Source link