MacOS’u hedef alan gelişmiş bir proxy Truva Atı keşfedildi ve düzenleme araçları, veri kurtarma yazılımı ve ağ tarama uygulamaları da dahil olmak üzere orijinal iş yazılımlarının korsan sürümleri aracılığıyla dağıtılıyor.
Truva Atı, kurulum sırasında meşru bir program gibi görünerek ve ardından bir göre, kullanıcının sistemi içinde gizli bir proxy sunucusu oluşturarak çalışır. Kaspersky raporu Bu hafta. Bu gizli sunucu, tehdit aktörlerinin sistemde bir arka kapı tutmasına ve aynı zamanda ağ trafiğini ele geçirilen cihaz üzerinden yeniden yönlendirmesine olanak tanır.
Kaspersky’nin siber güvenlik uzmanı Sergey Puzan, böyle bir proxy Truva Atı’nın varlığının kurbanlar açısından değişen şiddette sonuçlar doğurabileceğini açıklıyor. Örneğin, proxy diğer kullanıcıların trafiğini yönlendirmek için kullanılıyorsa, belki de kurallara aykırı VPN’ler aracılığıyla bu, kullanıcının ağını önemli ölçüde yükleyebilir, dolayısıyla çalışmasını yavaşlatabilir veya belirlenmiş herhangi bir trafik sınırını tüketebilir.
Diğer olası senaryolarda, kötü niyetli aktörlerin reklam görüntülemelerini artırmak için kurbanların bilgisayarlarını kullanması görülebilir; çeşitli sitelere, kuruluşlara veya diğer kullanıcılara daha fazla DDoS saldırısı düzenlemek amacıyla bir botnet düzenlemek; veya silah, uyuşturucu satın almak veya kötü amaçlı bilgiler veya diğer kötü amaçlı programları dağıtmak gibi yasa dışı faaliyetler için.
İnternette yasa dışı faaliyetler olması durumunda, bu tür herhangi bir eylem kullanıcının IP adresinden, yani kullanıcı adına gerçekleştirileceğinden, kullanıcı için önemli doğrudan riskler vardır.
Karıştırmak İçin DoH Kullanmak
Teknik açıdan Kaspersky’nin raporunda, macOS sürümünün yanı sıra aynı komuta ve kontrol (C2) sunucusuna bağlı Android ve Windows örneklerinin de keşfedildiği belirtildi. Her üçü için de araştırmacılar, C2 iletişimlerini trafik izleme araçlarından gizlemek için DNS-over-HTTPS (DoH) kullanımının altını çizdi.
Spesifik olarak DoH, yalnızca DNS isteklerinin analizine dayanan ilkel güvenlik çözümlerini atlamasına izin verebilir çünkü istek, DoH uygulayan bir sunucuya yapılan normal bir HTTPS isteği gibi görünecektir.
Puzan, “Sıradan kullanıcılar için ana koruma stratejisi elbette ağ trafiği analiz işlevlerine sahip antivirüs gibi bir güvenlik çözümü kurmak olacaktır” diyor. “Trafiğin hareketini ve dosya sistemindeki değişiklikleri izlemek yeterlidir.”
“Bu durumda C2 sunucusunun IP adresini kara listeye ekleyebilirsiniz, bu durumda Trojan sunucuya bağlanamayacak ve sistemdeki varlığını anında tespit edeceksiniz.”
Proxy aynı zamanda yetkisiz web sitelerinden gelen crackli uygulamalar yoluyla da yayılıyor, ücretsiz yazılım araçları arayan kullanıcıları hedef alıyor ve onları potansiyel kötü amaçlı yazılım kurulumlarına maruz bırakıyor; dolayısıyla bulaşmayı önlemenin basit bir yolu, korsan yazılım indirmekten kaçınmaktır.
Mac Kullanıcıları: Botnet’ler için Sabit Hedefler
Qualys’in siber tehdit direktörü Ken Dunham, Mac kullanıcılarının siber suçluların görüş alanında olmadıklarına dair yanlış bir algıya sahip olabileceklerini ancak bunun tam tersinin doğru olduğunu belirtiyor.
Örneğin Apple hayranları uzun zamandır hedef alınıyordu kullanıcılar için Mac katmanı nedeniyle botnet aktörleri tarafından ve BSD kod tabanı katmanı tarafından sessizce istismar edilebilecek olan kötü niyetli kullanıcılar bu bir son noktayı tehlikeye atar.
Dunham, “Yıllardır birçok Mac kullanıcısı, Windows dünyasında görülen çok sayıda saldırı nedeniyle saldırılara karşı savunmasız hissetti” diye açıklıyor. “Windows’un saldırı yüzeyi açıkça çok daha büyük olsa da, saldırganların çevrilmemiş taş bırakmadığı 2023’te tüm işletim sistemleri ve yazılım saldırı yüzeyleri saldırı altında.”
Belirli veri noktaları bunu doğruluyor: Ekim ayında, Accenture bir rapor yayınladı 2019’dan bu yana macOS’u hedef alan Dark Web tehdit aktörlerinin sayısının on kat arttığını ortaya koyuyor; bu eğilimin devam etmesi muhtemel.