Saldırılara Etkin Şekilde Katılan macOS Bilgi Hırsızları XProtect

   Ocak 17, 2024  Posted in GBHackers


2023’ün başından bu yana macOS’u hedef alan bilgi hırsızları artıyor ve birçok tehdit aktörü aktif olarak Apple cihazlarını hedef alıyor. Geçen yıl itibariyle Atomic Stealer, macOS meta hırsızı, RealStealer ve daha birçok uygulamanın birçok çeşidi keşfedildi.

Ancak Apple, macOS’taki yerleşik antivirüs “XProtect” imza veritabanlarını güncelledi; bu, Apple’ın bu bilgi hırsızlarından tamamen haberdar olduğunu ve bunları önlemek için gerekli önlemleri aldığını gösteriyor. Öte yandan tehdit aktörleri sürekli olarak gelişiyor ve bilinen imzalardan kaçıyor.

Belge

Ücretsiz Web Semineri

MOVEit SQLi, Zimbra XSS gibi sıfır gün güvenlik açıkları ve her ay keşfedilen 300’den fazla güvenlik açığı sorunu daha da karmaşık hale getiriyor. Bu güvenlik açıklarının düzeltilmesindeki gecikmeler uyumluluk sorunlarına yol açar; bu gecikmeler, AppTrana’daki 72 saat içinde “Sıfır güvenlik açığı raporu” almanıza yardımcı olan benzersiz bir özellik ile en aza indirilebilir.

Teknik Analiz – Üç Aktif Bilgi Hırsızı

Cyber ​​Security News ile paylaşılan raporlara göre Keysteal, Atomic InfoStealer ve CherryPie, şu anda XProtect de dahil olmak üzere birçok statik imza tespit motorundan kaçan üç aktif bilgi hırsızıydı.

Anahtar Çalma

Bu hırsız ilk olarak 2021 yılında keşfedildi ve kaçınma teknikleriyle sürekli olarak gelişiyor. Bu kötü amaçlı yazılımın bazı dağıtımları “ChatGPT” ikili adı altındaydı. Apple, 2023’te XProtect’in içine bu kötü amaçlı yazılım için artık çalışmayan bir imza ekledi.

KeySteal'in son örneği
KeySteal’in güncel örneği (Kaynak: SentinelOne)

Bu Keysteal’in ilk aşamalarında, “ReSignTool” macOS yardımcı programının içine yerleştirilmiş bir .pkg formatıyla dağıtıldı. Pek çok hassas şifre bilgisini barındıran Anahtar Zinciri bilgilerini çalacak ve etkilenen cihazda kalıcılık sağlayacak şekilde kodlanmıştır.

KeySteal’in en son sürümü, “ReSignTool”u, “UnixProject” ve “ChatGPT” adları altındaki çoklu mimarili Mach-O ikili dosyalarıyla değiştiriyor. Kötü amaçlı yazılım Objective C ile yazılmıştır ve mevcut dağıtım yöntemleri belirsizdir.

Atomik Bilgi Hırsızı

Apple bu ayın başlarında bu kötü amaçlı yazılımı tespit etmek için XProtect Signature veritabanlarını güncelledi. Ancak tehdit aktörlerinin imza tespitiyle ilgili güncel bilgilere sahip olduğu ve imza güncellemesinden kısa bir süre sonra kötü amaçlı yazılımı Go dili sürümüyle değiştirdiği görülüyor.

Buna ek olarak, bu kötü amaçlı yazılımın yalnızca çekirdek sürümü güncelleyen diğer bilgi hırsızlarından farklı olarak tamamen farklı geliştirme zincirleriyle görüldüğü görüldü. Şu anda çılgınca saldıran macOS cihazlarında bu kötü amaçlı yazılımın çeşitli varyasyonları mevcut.

Kötü amaçlı yazılım C++ dilinde yazılmıştır ve kurbanların, analistlerin veya kötü amaçlı yazılım sanal alanlarının, terminali hırsızla paralel olarak çalıştırmasını önleyen bir mantıktan oluşur. Ayrıca, kötü amaçlı yazılımın sanal makinede test edilip edilmediğini de kontrol eder.

Bu kötü amaçlı yazılımın dağıtımları, .dmg formatında bir “CrackInstaller” olarak görünen torrentler veya oyun odaklı sosyal medya platformları aracılığıyla gerçekleşti.

Atomic Stealer'ın GateKeeper'ı Geçersiz Kılması
Atomic Stealer’ın GateKeeper’ı Geçersiz Kılması (Kaynak: SentinelOne)

Kirazlı pasta

Bu bilgi hırsızı kötü amaçlı yazılım, Gary Stealer veya Go’da yazılmış, anti-analiz ve VM algılama için kapsamlı mantığa sahip, platformlar arası bir kötü amaçlı yazılım olan “JaskaGo” olarak da bilinir. Ancak kötü amaçlı yazılım geliştiricileri, bu kötü amaçlı yazılımın temel amacını ve amacını gösteren son derece açık dizeler bıraktıklarından çok emin görünüyorlar.

CherryPie, GateKeeper'ı devre dışı bırakmaya çalışıyor
CherryPie, GateKeeper’ı devre dışı bırakmaya çalışıyor (Kaynak: SentinelOne)

Bazı örneklerde, kötü amaçlı uygulamaları bir araya getirmek için Wails projesinin kullanıldığına dair izler vardı. Bu kötü amaçlı yazılımın yürütülmesi sırasında uygulama, Gatekeeper’ı devre dışı bırakmak için spctl yardımcı programını –master-disable argümanıyla çağırır ve yönetici ayrıcalıklarıyla çalışır.

Ayrıca, bu kötü amaçlı yazılım hakkında kaynak kodu, davranış, amaç ve diğer bilgiler hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor yayımlandı.

Uzlaşma Göstergeleri

Anahtar Çalma

  • 95d775b68f841f82521d516b67ccd4541b221d17
  • f75a06398811bfbcb46bad8ab8600f98df4b38d4
  • Amerika Birleşik Devletleri[.]4jrb7xn8rxsn8o4lghk7lx6vnvnvazva[.]iletişim

Atomik Bilgi Hırsızı

  • 1b90ea41611cf41dbfb2b2912958ccca13421364
  • 2387336aab3dd21597ad343f7a1dd5aab237f3ae
  • 8119336341be98fd340644e039de1b8e39211254
  • 973cab796a4ebcfb0f6e884025f6e57c1c98b901
  • b30b01d5743b1b9d96b84ef322469c487c6011c5
  • df3dec7cddca02e626ab20228f267ff6caf138ae

Kirazlı pasta

  • 04cbfa61f2cb8daffd0b2fa58fd980b868f0f951
  • 09de6c864737a9999c0e39c1391be81420158877
  • 6a5b603119bf0679c7ce1007acf7815ff2267c9e
  • 72dfb718d90e8316135912023ab933faf522e78a
  • 85dd9a80feab6f47ebe08cb3725dea7e3727e58f
  • 104[.]243[.]38[.]177

Uygun maliyetli penetrasyon testi hizmetleri mi arıyorsunuz? Dijital sistemlerin güvenlik durumunu değerlendirmek ve değerlendirmek için Kelltron’u deneyin. Ücretsiz demo



Source link