Microsoft araştırmacıları, uzun süredir devam eden XCSSET kötü amaçlı yazılımının, veri çalmayı, cihazlarda devam etmeyi ve kripto para işlemlerini ele geçirmeyi amaçlayan yeni bir hileler cephaneliği ile yeniden ortaya çıktığını söylüyor. Evrimleşmiş varyant, saldırganların Apple’ın ekosistemini yıllarca rahatsız eden kötü amaçlı yazılımları nasıl uyarlamaya devam ettiğini gösteriyor.
Dört aşama, yeni numaralar
Güncellenmiş gerinim, yerleşik dört aşamalı enfeksiyon zincirine yapışır, ancak son aşamasını birkaç yeni modülle yeniler. En dikkat çekici değişiklik, XCSSET kötü amaçlı yazılımlarının artık sadece Chrome’u değil Firefox kullanıcılarını hedefleyebilmesidir. Saldırganlar, Mozilla’nın tarayıcısından şifreleri, çerezleri, geçmişi ve hatta depolanan kredi kartı ayrıntılarını çeken özel bir info-stealer inşa ettiler.
Bu genişleme potansiyel kurbanların havuzunu genişletiyor. Chrome hakim olsa da, Firefox’un hala on milyonlarca kullanıcısı var-çoğu geliştirici veya güvenlik bilincine sahip kullanıcılar, kötü amaçlı yazılımların seçtikleri tarayıcıda sıfırlanmasını beklemiyor.
Kötü amaçlı yazılım da kalıcılık oyununu artırıyor. Yeni bir LaunchDaemon tabanlı yöntem, kullanıcı dizinlerine gizli bir dosyayı yerleştirir ve sahte “sistem ayarları” uygulamalarıyla gizlenir. Enfekte sistemleri daha uzun süre savunmasız tutmak için tasarlanmış bir hareket olan MacOS yazılım güncellemelerini ve Apple’ın Hızlı Güvenlik Yanıt yamalarını bile devre dışı bırakır.
Saldırı Altında Panolar, Kripto Kullanıcıları Dikkat
Başka bir yükseltme, kripto kullanıcılarını incittiği yere vurur. Kötü amaçlı yazılım artık cüzdan adresleri için panoyu izliyor. Bir adresi kopyalayan bir kurban görürse, bunun yerine saldırganın adresinde takas edebilir-transfer sırasında fonları sessizce yönlendirir.
Pano kaçırma kötü amaçlı yazılımlarda yeni değil, ancak bir macOS kampanyasına pişirildiğini görmek not almaya değer bir şey. Kopya yapıştırma işlemlerine güvenen gündelik kripto kullanıcıları için özellik, hırsızlığa yönelik doğrudan bir boru hattıdır.
Sosyal Mühendislik Hala Giriş Noktası
XCSSET’in ilk dağıtım mekanizması değişmedi. Hala Xcode projeleri. Zehirlenmiş depoları indiren veya klonlayan geliştiriciler, birinci aşama yükü düşüren kötü amaçlı kod çalıştırma riskini taşırlar. Oradan, dört aşamalı zincir ortaya çıkıyor.
Bu akıllı bir dağıtım stratejisidir, çünkü geliştiriciler genellikle projeleri geniş bir şekilde paylaşırlar ve enfekte kod git depoları aracılığıyla sessizce yayılabilir. Taktik ayrıca güvenilir ve kötü niyetli yazılımlar arasındaki çizgiyi bulanıklaştırarak geleneksel savunmaları daha az etkili hale getiriyor.
İkinci aşama kalıcılık oluşturur. Burada, kötü amaçlı yazılım yerel proje ayarlarını ve çevre değişkenlerini değiştirir, enfeksiyonun, lekeli proje başkalarıyla paylaşılırsa proje yeniden yüklemelerinden ve yayılmalardan kurtulmasını sağlar. Bu noktada, kurban olağandışı bir şey fark etmeyebilir – geliştirici iş akışı normal olarak devam eder.
Üçüncü aşama yükseliş ve keşifle ilgilidir. Kötü amaçlı yazılım, değerli veri noktaları için sistemi inceleyen ek komut dosyaları alır: işletim sistemi sürümü, donanım detayları, aktif işlemler ve tarama profilleri. Ayrıca, makinenin daha hedefli yükler için hazır olduğunu gösteren komut ve kontrol (C2) sunucusuna bağlantılar kurar.
Sadece bu üç aşamadan sonra dördüncü aşamalı önyükleme komut dosyası daha ağır modülleri dağıtıyor-XCSSET’in Microsoft’un en önemli şekilde geliştiğini söylediği bir kısmı.
Uyarlamaya devam eden bir kötü amaçlı yazılım
Objective-See Vakfı’nın kurucusu Patrick Wardle ve XCSSET adlı “MAC Kötü Yazılım” Kitap Serisinin yazarı en “sinsi” Apple işletim sistemi kötü amaçlı yazılım. “XCSSET, şu anda daha sinsi macOS kötü amaçlı yazılım örneklerinden biri” dedi.
XCSSET yeni değil. İlk olarak 2020’de belgelendi, sürekli olarak tespitten kaçmasına ve erişimini genişletmesine yardımcı olan ince ayarlarla yeniden ortaya çıktı. Yeni varyant, komutları yürütmek için Applescript’e gizleme, modüler tasarım ve güven konusunda iki katına çıkıyor. Bu değişiklikler, kötü amaçlı yazılımları analiz etmeyi ve saldırganlara gerektiğinde modülleri değiştirme veya güncelleme esnekliği sağlamayı zorlaştırır.
Microsoft’un Tehdit İstihbarat Ekibi, “Kötü amaçlı yazılım mimarisi, yanıtları savunmaya hızlı bir şekilde uyum sağlamasına izin veriyor” diye yazdı. “Her yeni modül, saldırganların talep üzerine konuşlandırabileceği başka bir yetenek katmanını temsil ediyor.”