Tanınmış XLoader kötü amaçlı yazılımının macOS’a özgü yeni bir çeşidi, “OfficeNote” uygulaması adı altında sunuluyor.
SentinelOne araştırmacıları, “Temmuz ayı boyunca bu örneğin VirusTotal’da çok sayıda gönderimi ortaya çıktı ve bu da kötü amaçlı yazılımın yaygın bir şekilde dağıtıldığını gösteriyor” dedi.
Yeni XLoader macOS kötü amaçlı yazılım çeşidi
XLoader, 2015’ten beri aktif olan, ancak ilk olarak 2021’de Java ile yazılmış bir macOS çeşidi olarak ortaya çıkan, hizmet olarak kötü amaçlı yazılım içeren bir bilgi hırsızlığı ve botnet’tir.
SentinelOne araştırmacıları şöyle açıkladı: “Java Runtime Environment, Snow Leopard günlerinden bu yana macOS’ta varsayılan olarak gönderilmiyor, bu da kötü amaçlı yazılımın hedeflemesinin Java’nın isteğe bağlı olarak yüklendiği ortamlarla sınırlı olduğu anlamına geliyor.”
Bu nedenle kötü amaçlı yazılım geliştiricileri, Mac için XLoader’ı bağımlılıklar olmadan çalışacak şekilde yeniden yazdı. “C ve Objective C programlama dillerinde yerel olarak yazılan ve Apple geliştirici imzasıyla imzalanan XLoader, artık ‘OfficeNote’ adında bir ofis üretkenlik uygulaması kılığına giriyor” diye keşfettiler.
OfficeNote’un iptal edilen Apple geliştirici imzası. (Kaynak: SentinelOne)
Araştırmacılar Pazartesi günü yaptığı açıklamada, söz konusu Apple geliştirici imzasının o zamandan beri iptal edildiğini, ancak Apple’ın kötü amaçlı yazılım engelleme aracı XProtect’in hala bu özel varyantın yürütülmesini engellemediğini söyledi.
Kötü amaçlı yazılım davranışı
Kötü amaçlı yazılım yürütüldükten sonra sabit kodlanmış bir hata mesajı gösterir (Orijinal öğe bulunamadığı için “OfficeNote” açılamıyor.) aynı zamanda kötü amaçlı yükünü ve kalıcılık aracısını gizlice yüklerken.
XLoader daha sonra, komuta ve kontrol (C2) sunucusunun konumunu gizleyerek, kullanıcının panosundaki sırları ve Chrome ve Firefox tarayıcıları (ancak Safari değil) tarafından saklanan oturum açma kimlik bilgilerini çalmaya çalışacaktır.
Araştırmacılar, “XLoader ayrıca hem manuel hem de otomatik çözümlerle analizden kaçmaya çalışıyor” dedi. “Kötü amaçlı yazılım, yürütme sırasında otomatik analiz araçlarını yanıltma umuduyla davranışı geciktirmek için uyku komutlarını çalıştırıyor. Benzer şekilde statik analizi engellemek amacıyla ikili dosyalar sıyrılıyor ve yüksek entropi sergiliyor.”
Mac’ler hedef olarak popülerlik kazanıyor
MacOS cihazlarının kurumsal ortamlara artan entegrasyonu, bunların siber suçlular açısından çekiciliğini önemli ölçüde artırdı.
Sonuç olarak siber suçlular, önemli mali kazanç potansiyelinden yararlanmaya çalışarak macOS sistemlerini tehlikeye atma çabalarını yoğunlaştırıyor.
“XLoader, macOS kullanıcıları ve işletmeleri için tehdit oluşturmaya devam ediyor. Araştırmacılar, bir ofis üretkenliği uygulaması görünümüne bürünen bu en son yinelemenin, ilgilenilen hedeflerin açıkça çalışma ortamındaki kullanıcılar olduğunu gösterdiğini belirtti.