Modstealer olarak bilinen yeni platformlar arası bilgi stealer, macOS kullanıcılarını hedefleyen ve Apple’ın yerleşik güvenlik mekanizmalarından kaçınma yetenekleri gösteren ortaya çıktı.
Kötü amaçlı yazılım, 2024 boyunca dramatik bir dalgalanma gören ve cari yılda hızlanmaya devam eden macOS odaklı tehditlerdeki en son evrimi temsil ediyor.
Modstealer, diğer macOS stealers’da görülen yerleşik kalıpları takip eder, ancak onu Atomic Stealer gibi öncüllerden ayıran benzersiz kalıcılık mekanizmaları sunar.
Kötü amaçlı yazılım, bu grupların değerli dijital varlıklarından ve çevrimiçi geliştirme kaynaklarıyla sık sık etkileşimden yararlanarak sahte iş reklamlarını ve işe alım fırsatlarını içeren sosyal mühendislik kampanyaları aracılığıyla geliştiricileri ve kripto para sahiplerini hedeflemektedir.
Siber güvenlik firması Mosyle’nin ilk raporları, Modstealer’ın ilk olarak Virustotal’da yaklaşık bir ay önce ortaya çıktığını gösteriyor.
Moonlock analistleri, kötü amaçlı yazılımlar arası doğasını belirleyerek macOS, Windows ve Linux sistemlerini aynı anda tehlikeye atmasını sağladı.
Bu çok yönlülük, tehdit aktörleri her platform için ayrı kötü amaçlı yazılım varyantlarını korumak yerine birleşik kampanyaları birden fazla işletim sistemine yerleştirebileceğinden, Modstealer’ı özellikle tehlikeli hale getirir.
Kötü amaçlı yazılım yetenekleri tipik veri hırsızlığı işlemlerinin ötesine uzanır. Modstealer, Chrome ve Safari platformlarında 50’den fazla tarayıcı uzantısına sızabilir ve Safari hedeflemesi bilgi çalanlar arasında nispeten nadirdir.
Kötü amaçlı yazılım, kripto para birimi cüzdan uzantılarından verileri çıkarır, tohum cümleleri ve özel tuşlar içeren pano içeriğini yakalar, görünür kullanıcı verilerinin ekran görüntülerini alır ve yerel depolama veritabanları, çerezler ve depolanan kimlik bilgileri dahil olmak üzere kaydedilmiş tarayıcı bilgilerini hasat eder.
Launchagent kötüye kullanımı yoluyla gelişmiş kalıcılık
Modstealer’ın en dikkat çekici teknik yeniliği, macOS sistemleri üzerindeki kalıcılık mekanizmasında yatmaktadır.
Geleneksel kalıcılık yöntemlerini kullanmak yerine, kötü amaçlı yazılım, Apple’ın yerel LaunchCTL yardımcı programını, kendisini sistemin başlangıç işlemlerinde bir lansman olarak gömmek için kullanır.
Bu yaklaşım, Modstealer’ın meşru sistem süreçleri olarak maskelenerek tehlikeye atılmış MAC cihazlarında uzun vadeli, tespit edilemeyen varlığı korumasını sağlar.
Kötü amaçlı yazılım, MacOS Launchagent konfigürasyonları yoluyla kalıcılık oluştururken bileşenlerini saklamak için “Sysupdater.dat” gibi gizli yük dosyaları oluşturur.
Bu teknik, sistem dosyalarında veya kayıt defteri girişlerinde yetkisiz değişiklikleri izlemeye odaklanan birçok algılama sistemini etkili bir şekilde atlar.
Apple’ın kendi araçlarını ve çerçevelerini kullanarak Modstealer, kendisini meşru sistem etkinliği olarak sunar ve algılamayı hem otomatik güvenlik çözümleri hem de manuel analiz için önemli ölçüde daha zorlaştırır.
.webp)
Kurulduktan sonra Modstealer, ek talimatlar almak, toplanan verileri çıkarmak ve potansiyel olarak uzlaşmış ağlar içinde yanal hareketi kolaylaştırmak için komut ve kontrol sunucuları ile iletişimi sürdürür.
Bu kalıcı bağlantı, tehdit aktörlerinin sürekli olarak hassas bilgileri hassas bir şekilde toplamasını ve operasyonlarını her bir mağdur sisteminin belirli ortamına göre uyarlamalarını sağlar.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
