Siber güvenlik araştırmacıları tarafından yakın zamanda yapılan bir keşif, bir macOS hedefleme Truva atı olan Poseidon kötü amaçlı yazılımının, sistemlere sızmak için PKG dosyalarını ön yükleme komut dosyalarıyla kullandığını ortaya koydu.
Sadece 207 bayt ağırlığındaki bu kötü amaçlı yazılım şu anda Virustotal tarafından tespit edilmiyor ve MAC kullanıcıları için önemli bir tehdidi temsil ediyor.
PKG dosyasına gömülü ön tester komut dosyası, bir dağıtım mekanizması olarak hizmet eder ve kötü amaçlı yazılımların şüpheli olmayan kurbanların cihazlarına kötü amaçlı yükler indirmesine ve yürütmesine izin verir.
Poseidon, Hizmet Olarak Artan Kötü Yazılım (MAAS) ekosisteminin bir parçasıdır ve 2014’ten beri aktiftir.
Tarayıcı kimlik bilgileri, kripto para birimi cüzdan bilgileri ve sistem dosyaları dahil olmak üzere hassas kullanıcı verilerini çalmak için tasarlanmıştır.
Kötü amaçlı yazılım, anti-kötü niyetli önlemler ve algılamadan kaçınmak ve analizi karmaşıklaştırmak için özel kodlama algoritmaları gibi sofistike teknikler kullanır.
Enfeksiyon mekanizması: sahte alanlardan terminal uygulamasına kadar
Poseidon’un enfeksiyon süreci genellikle kötü niyetli kampanyalarla başlar.
Kullanıcılar, Deepseek veya Arc tarayıcı siteleri gibi meşru platformları taklit eden sahte web sitelerine yönlendirilir.
Bu web siteleri, kullanıcıları meşru uygulamalar olarak gizlenmiş kötü amaçlı DMG veya PKG dosyalarını indirmeye kandırır.
İndirildikten sonra kötü amaçlı yazılım, kullanıcıları terminal üzerinden komut dosyalarını yürütmeye yönlendirerek MacOS Gatekeeper bypass tekniklerinden yararlanır.
Bu yöntem, Poseidon’un MacOS güvenlik özelliklerini atlatmasına ve sisteme yetkisiz erişim kazanmasına izin verir.
PKG dosyası içindeki ön tester komut dosyası özellikle ilgilidir.
Ek yükler indirmek veya doğrudan kötü amaçlı yazılımları yüklemek için kurulum sırasında komutlar yürütür.
Etkin olduktan sonra Poseidon, belirli dizinlerden (örneğin, masaüstü, indirmeler) verileri açıklar ve “TXT”, “PDF”, “DOCX” ve kripto para ile ilgili uzantılar gibi dosya türlerini hedefler.
Ayrıca sistem bilgilerini toplar, anahtarlık verilerine erişir ve kullanıcı onayı olmadan krom güvenli depolama anahtarlarını almaya çalışır.
Gelişmiş Kırılma Teknikleri
Poseidon, tespit edilmemiş kalabilmek için birkaç gelişmiş kaçış taktikini kullanır:
- Kodlama ve şifreleme: Kötü amaçlı yazılım, yük dağıtım için özel Base64 kodlama ve onaltılık dizeler kullanır.
- Terminal manipülasyonu: “Disnown” ve “Pkill Terminali” gibi komutlar, etkinliğini kullanıcılardan gizlerken arka planda çalışmasına izin verir.
- Anti-kötü niyetli önlemler: Poseidon, sanal alan ortamlarını veya hata ayıklama araçlarını algılar ve bu tür koşullar tanımlanırsa kendini sonlandırır.
Bu teknikler, araştırmacıların ve antivirüs yazılımının operasyonlarını etkili bir şekilde analiz etmesini veya kesmesini zorlaştırır.
Rapora göre Poseidon, 2024’ün sonlarında tespitlerin% 70’ini oluşturan en aktif macOS infostalerlerinden biri olarak ortaya çıktı.
Geleneksel güvenlik önlemlerini atlama yeteneği, macOS hedefli kötü amaçlı yazılımların gelişen sofistike olduğunu vurgulamaktadır.
Kullanıcılara tanıdık olmayan kaynaklardan yazılım indirirken dikkatli olmaları ve kesinlikle gerekmedikçe terminalde komut dosyalarını yürütmekten kaçınmaları önerilir.
Riskleri azaltmak için kullanıcılar, sağlam uç nokta koruma çözümleri uygulamalı, düzenli yazılım güncellemeleri yapmalı ve Poseidon gibi tehditleri algılamak ve kaldırmak için Mac için Malwarebytes gibi araçları kullanmalıdır.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free