Güvenlik araştırmacıları tarafından “Pasivrobber” olarak adlandırılan macOS hedefleyen gelişmiş yeni kötü amaçlı yazılım paketi keşfedildi.
13 Mart 2025’te tanımlanan “WSUS” adlı şüpheli bir dosya Virustotal’a yüklendikten sonra Pasivrobber, enfekte sistemlerden ve popüler uygulamalardan çok çeşitli veri çalmak için tasarlanmış çok bileşenli bir tehdittir.
Kötü amaçlı yazılım, macOS iç kısımlarının derin bir anlayışını sergiler ve birkaç aldatıcı teknik kullanır.
.png
)
İlk yükleyici paketi, “Weihu Chen” e ait bir geliştirici kimliği ile imzalanmıştır, ancak bu paket temel kötü amaçlı yazılım bileşenlerini içeren ikincil, imzasız bir paket yükler.
Kurulum işlemi, ana başlatıcısının Apple’ın “GEOD” yerine “Gitti” adını vermek ve genellikle Windows Server güncelleme hizmetleriyle ilişkili bir kısaltma olan “WSUS” kullanma gibi meşru macOS işlemlerine benzer adları kullanarak kötü amaçlı yazılımları gizlemeye çalışır. Ayrıca dinamik kütüphaneleri (dylibler) “.gz” uzantıları vererek gizler.
Hedefleme ve potansiyel köken
Kanıtlar, Pasivrobber’ın Çinli kullanıcılardan kaynaklandığını ve hedeflediğini şiddetle gösteriyor. Kötü amaçlı yazılım, WeChat ve QQ dahil olmak üzere Çin’de popüler uygulamalardan gelen verileri özellikle çıkarır.
Kod içinde bulunan geliştirici yolları “Meiya” adını içerir ve ilk açık kaynak zekası, geliştirici imzasını “Xiamen Meiya Pico Information Co., Ltd.” ile bağlantılı bir şirket olan “Xiamen Huanya Zhongzhi Teknoloji Ortaklığı Enterprise” ile ilişkilendirir.
Meiya Pico, adli ve güvenlik ürünleri geliştirmekle bilinir ve daha önce ABD Hazinesi tarafından Çin askeri-sanayi kompleksi ve gözetim yazılımının geliştirilmesi ile bağlantılıdır.
Kesin bir bağlantı doğrulanmasa da, yetenekler ve sofistike Meiya Pico’nun profiliyle uyumludur.
Yetenekler ve yapı
Rapora göre, Pasivrobber karmaşık, çok katmanlı bir yapı kullanıyor ve araştırmacıların PASIV cihazından sonra adını vermeye ve film başlangıçta çok seviyeli rüya casusluğu, “Robber.Dylib” bileşenleri kullanımı ile birlikte kullanıyor.
Suite birkaç önemli ikili dosyadan çalışır:
- İyi: Kalıcı bir Launchdaemon ile piyasaya sürülen bu ikili, ana işlemleri yürüterek başlatır
wsus. - WSUS: FTP aracılığıyla güncellemeler, RPC mesajları aracılığıyla kaldırma ve çekirdek grafik çerçevesini kullanarak ekran görüntülerini yakalama da dahil olmak üzere uzaktan işlemleri işler. Ayrıca anlık mesajlaşma uygulama önbellekleri ve plistlerden gelen anahtarları ve verileri çıkarmaya çalışır.
- Merkez: Bir cihaz sonrası ajan olarak hareket eder, sistem bilgilerini toplama (donanım modeli, işletim sistemi detayları, bellek istatistikleri) ve günlük etkinliği. En önemlisi, başka bir paketlenmiş ikili “Aps” kullanır (açık kaynaklara benzer şekilde
insert_dylibTool), kötü amaçlı kodları WeChat, QQ ve WECOM (WECHAT Enterprise) gibi çalışan uygulamalara enjekte etmek. Bu uygulamaları öldürebilir, kod enjekte edebilir (potansiyel olarak içine yerleştirilmiş frida çerçeve komut dosyalarını kullanaraklibIMKeyTool.dylib) ve sonra onları yeniden imzalayın. - Eklentiler: Suit, gizlenmiş 28 eklenti içerir
.gzİçinde bulunan dosyalar/Library/protect/wsus/bin_arm/plugins/. Bu, sistem dosyaları, tarayıcı verileri (Safari, Chrome, Firefox), e -posta istemcileri (posta, Outlook, FoxMail), sohbet uygulamaları ve bulut depolama yapılandırmaları dahil olmak üzere özel veri kaynaklarını hedefler. Toplanan veriler yerel bir SQLite veritabanında saklanmış gibi görünmektedir.
Kötü amaçlı yazılım, IM uygulamalarından anahtar çıkarma gibi belirli işlemleri denemeden önce sistem bütünlüğü korumasını (SIP) durumunu kontrol eder libIMKeyTool.dylibbu işlevlerin yalnızca SIP devre dışı bırakılması durumunda çalıştığını öne sürüyor.
Ayrıca uzaktan kaldırma için işlevselliği içerir ve günlükleri ve yapılandırma dosyaları için çay şifrelemesini kullanır.
Araştırmacılar ayrıca, MacOS paketi içindeki ilgili Windows bileşenlerinin kanıtı buldular ve bu da tehdide potansiyel bir platformlar arası yönünü gösterdi.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!