Windows işletim sisteminin yanı sıra, tehdit aktörleri artık yasa dışı hedeflerine ulaşmak için aktif olarak Mac sistemlerini de hedefliyor. AT&T Alien Labs’daki siber güvenlik analistleri, son zamanlarda tehdit aktörlerinin aktif olarak Mac sistemlerini proxy çıkış düğümlerine dönüştürdüğünü gözlemledi.
OSX kötü amaçlı yazılımı AdLoad, 2017’de ortaya çıktı ve o zamandan beri, iki büyük kampanyası 2021’de SentinelOne ve 2022’de Microsoft tarafından vurgulandı.
Microsoft’un UpdateAgent hakkındaki raporu, Drive-by uzlaşması yoluyla yayılan bir kötü amaçlı yazılım olan AdLoad’un, kullanıcıların trafiğini çaldığını ve reklam yazılımı operatörlerinin sunucuları aracılığıyla yeniden yönlendirerek web sayfalarına ve arama sonuçlarına reklam ve promosyonlar enjekte ettiğini ortaya koyuyor.
Yeni Gözlemler
AT&T Alien Labs’deki araştırmacılar, Haziran 2023’te görülen çok sayıda yeni AdLoad sürümünü inceledi. Uygulama sırasında, sistem ayrıntılarını toplar ve raporlama için bir AdLoad sunucusuyla iletişim kurar.
Geçen yıl boyunca, AT&T Alien Labs’deki araştırmacılar tarafından tutarlı AdLoad etkinliği not edildi ve yalnızca kötü amaçlı yazılımın virüs bulaşmış sistemlere yüklendiğini gözlemlemekle kalmadılar.
Aşağıda, yeni gözlemlerden bahsettik: –
- Açıklanmayan yük
- Bir proxy uygulaması
- Kurbanları çıkış düğümlerine dönüştürür
Alien Labs, potansiyel olarak çıkış düğümleri olarak proxy sunucularına bağlanan haftalık 10.000 IP tespit ettiğinden, çok sayıda örnek yaygın enfeksiyonlara neden oldu. SPAM kampanyaları dağıttığı tespit edilmiş olsa da, kullanıcıların bu konut proxy botnet’i için amaçları belirsizliğini koruyor.
Mac Sistemlerini Proxy Çıkış Düğümlerine Aktarma
AT&T Alien Labs’ın Haziran ayında tespit ettiği en son AdLoad örneğinin adı “app_assistant” idi ve bu kötü amaçlı yazılım için sık kullanılan dosya adları şunları içeriyor:-
- “ana_yardımcı”
- ‘mh’
Burada örnek, sistem ayrıntılarını toplamak için bir sistem profil oluşturucu kullanarak başlar ve daha sonra proxy sunucularında C&C ile sistem tanımlaması için UUID’yi vurgular.
Her iki durumda da yürütülen dosya adı, ‘(bilinmeyen sürüm) CFNetwork/$version’ ve Darwin sürüm numarasından oluşan Kullanıcı Aracısı.
AdLoad sunucu işaretinin ardından, örnek kişiler aşağıdaki gibi C&C alanlarını proxy olarak kullanır:-
- vpn hizmetleri[.]canlı
- güncelleme[.]canlı
İstek, UUID ve kodlanmış parametreleri içerirken, digitaloceanspaces’ten bir dosya bağlantısı alır.[.]çevre ve yük sürümü ile com.
Örnek, birkaç saniyede bir talimatlar için bir işaret gönderirken, C&C güncellemeleri sağlar ve aşağıdaki gibi donanım sorunlarını kontrol eder: –
- Düşük pil
- Yüksek CPU kullanımı
öneriler
Burada Aşağıda tüm önerilerden bahsettik: –
- AdLoad örneklerini SentinelOne tarafından oluşturulan benzersiz Yara kuralıyla tanımlayın.
- 4002758 ve 2038612 suricata kurallarını karşılayan sistemleri analiz ettiğinizden emin olun.
- Arka planda etkin olabilecek ‘main’, ‘helper’ ve ‘pcyx.ver’ gibi dosyaları barındıran 20’den fazla rasgele karakterden oluşan bir klasör için ‘/Users/X/Library/Application Support/’ dosyasını inceleyin.
- /Library/LaunchAgents/ içindeki mevcut Launch Agent listelerinin amacını değerlendirin, özellikle ekstra uzun rasgele karakter dizilerine odaklanın ve gereksiz aracıları kaldırın.
- 7000, 7001 veya 7002 bağlantı noktalarında iletişim kuran sistemleri şüpheli IP’lere veya 4002756 ve 4002757 suricata kurallarına karşılık gelen bağlantılara karşı inceleyin.
Bizi GoogleNews, Linkedin üzerinden takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, twitterve Facebook.