Rust’ta yazılmış yeni bir arka kapının, çeşitli ilginç özelliklere sahip macOS kullanıcılarını hedef aldığı keşfedildi. Dahası, Visual Studio Güncellemesi adı altında gizlenen 3 farklı arka kapı çeşidi bulunmuştur.
Arka kapı, x84_64 Intel ve ARM mimarileri için Mach-O dosyaları içeren FAT ikili dosyaları olarak dağıtılır. Buna ek olarak, arka kapının tarihi Kasım 2023’ün başına kadar uzanıyor ve en son örnek 2 Şubat 2024’te bulunuyor.
Canlı saldırı simülasyonu Web Semineri, hesap ele geçirmenin çeşitli yollarını gösterir ve web sitelerinizi ve API’lerinizi ATO saldırılarına karşı korumaya yönelik uygulamaları gösterir.
Yerinizi Ayırın
Visual Studio Güncellemesi Olarak Kötü Amaçlı Yazılım Taklidi
Bitdefender, örneklerin çoğunun küçük farklılıklarla aynı temel işlevlere sahip olduğunu söyledi. Tanımlanan örneklerin listesi aşağıdaki gibidir:
- zshrc2
- Önizleyiciler
- VisualStudio Güncelleyici
- VisualStudioUpdater_Patch
- VisualStudioGüncelleniyor
- görsel stüdyo güncellemesi
- DO_NOT_RUN_ChromeGüncellemeleri
Tüm varyantlar aşağıdaki komutları destekler
- not
- kabuk
- CD
- mkdir
- rm
- rm
- uyumak
- yüklemek
- robot öldürme
- diyalog
- görev öldürmek
- indirmek
Varyant 1
Bunun, plist dosyası (test.plist) tarafından tanımlanan arka kapının test sürümü olduğu anlaşıldı. Ancak gömülü plist dosyasının, macOS için mekanizmaları ve korumalı alandan kaçınma tekniklerini açıklayan genel bir yazıdan kopyalanıp yapıştırıldığı tespit edildi.
Varyant 2
Bu ikinci değişkendeki dosya sayısı, karmaşık bir JSON yapılandırmasının yanı sıra verileri çıkarmak için yerleşik bir Apple Komut Dosyası içeren birkaç büyük dosyadan oluşur. Bu Apple komut dosyasının çeşitli varyantları bulunmuştu ve bunların tümü veri sızdırma amaçlıydı.
Ayrıca yapılandırma seçenekleri, bir iletişim kutusuyla yönetici parolasını taklit etmek için kimliğine bürünülecek uygulamaların bir listesini içerir.
Sıfır varyant
Bu, ilk kez 11 Kasım 2023’te ortaya çıkan en eski sürümdü. Bu, arka kapının en eski sürümü olduğundan Apple komut dosyasından ve yerleşik yapılandırmalardan yoksundur.
Bitdefender, BlackBasta ve (ALPHV/BlackCat) fidye yazılımı operatörlerine kadar takip edilen bir arka kapı hakkında kapsamlı bir rapor yayınladı. Rapor, arka kapının çeşitli çeşitleri, örnekleri, kaynak kodu ve diğer ilgili ayrıntıları hakkında derinlemesine bilgi içeriyor.
Uzlaşma Göstergeleri
İkili dosyalar
- 6dd3a3e4951d34446fe1a5c7cdf39754 (VisualStudioUpdater_Patch)
- 90a517c3dab8ceccf5f1a4c0f4932b1f (VisualStudioUpdater_Patch)
- b67bba781e5cf006bd170a0850a9f2d0 (VisualStudio Güncelleniyor)
- f5774aca722e0624daf67a2da5ec6967 (VisualStudioUpdater_Patch)
- 52a9d67745f153465fac434546007d3a (Önizlemeciler)
- 30b27b765878385161ca1ee71726a5c6 (DO_NOT_RUN_ChromeUpdates)
- 1dbc26447c1eaa9076e65285c92f7859 (visualstudio güncellemesi)
- 05a8583f36599b5bc93fa3c349e89434 (VisualStudio Güncelleyici)
- 5d0c62da036bbe375cb10659de1929e3 (VisualStudio Güncelleyici)
- 68e0facbf541a2c014301346682ef9ca (VisualStudio Güncelleyici)
- b2bdd1d32983c35b3b1520d83d89d197 (zshrc2)
- 5fcc12eaba8185f9d0ddecafae8fd2d1 (zshrc2)
- 97cd4fc94c59121f903f2081df1c9981
- 28bdd46d8609512f95f1f1b93c79d277
- 3e23308d074d8bd4ffdb5e21e3aa8f22
- 088779125434ad77f846731af2ed6781
- b67f6e534d5cca654813bd9e94a125b9
- cf54cba05efee9e389e090b3fd63f89b
- 44fcf7253bcf0102811e50a4810c4e41
- 690a097b0eea384b02e013c1c0410189
- 186be45570f13f94b8de82c98eaa8f4f
- 3c780bcfb37a1dfae5b29a9e7784cbf5
- 925239817d59672f61b8332f690c6dd6
- 9c6b7f388abec945120d95d892314ea7
- 85cd1afbc026ffdfe4cd3eec038c3185
- 6aaba581bcef3ac97ea98ece724b9092
- bcbbf7a5f7ccff1932922ae73f6c65b7
- bde0e001229884404529773b68bb3da0
- 795f0c68528519ea292f3eb1bd8c632e
- bc394c859fc379900f5648441b33e5fd
- 0fe0212fc5dc82bd7b9a8b5d5b338d22
- 835ebf367e769eeaaef78ac5743a47ca
- bdd4972e570e069471a4721d76bb5efb
Alan adlarını indir
- https[:]//sarkerrentacars[.]com/zshrc
- https[:]//türkçemobilya[.]blog/Önizleyenler
- http[:]//linksammosupply[.]com/zshrc2
- http[:]//linksammosupply[.]com/VisualStudioUpdaterLs2
- http[:]//linksammosupply[.]com/VisualStudioUpdater
C&C URL’leri
- maconlineofisi[.]iletişim
- 193.29.13[.]167
- 88.214.26[.]22
- https://serviceicloud[.]iletişim
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.