-1.webp "XLoader kötü amaçlı yazılımı, İmzalı OfficeNote Uygulaması Kılığında macOS Kullanıcılarına Saldırıyor")
XLoader, 2015’ten bu yana özellikle kalıcı ve uyarlanabilir bir tehdit olarak hizmet veriyor. Dijital ortama derinlemesine kök salmış kökleriyle XLoader, güvenlik uzmanlarının dikkatini gerektiren dönüştürücü bir evrim geçirdi.
Bu kapsamlı analizde SentinelOne, zararsız ‘OfficeNote’ uygulaması gibi görünen bir macOS çeşidi olan XLoader’ın en son versiyonunu inceliyor.
Yerel olarak C ve Objective C programlama dillerinde geliştirilen bu yeni sürüm, stratejik dağıtım, karmaşık gizleme teknikleri ve gelişmiş kaçınma manevraları yoluyla sinsi karmaşıklığını sergiliyor.
XLoader’ın Yanıltıcı Dağıtımı:
‘OfficeNote.dmg’ adlı bir Apple disk görüntüsü içinde paketlenen kötü amaçlı yazılım, gerçek niyetini gizlemek için bir ofis üretkenlik uygulaması görünümünden yararlanıyor.
Dikkat çekici bir şekilde, uygulama geliştiricinin imzası olan ‘MAIT JAKHU (54YDV8NU9C)’ ile imzalanmıştır; bu, ekstra bir aldatma katmanı ekleyen görünüşte meşru bir dokunuştur.
İmza İptali ve Test:
Başvurunun imzalandığı 17 Temmuz 2023 tarihinden bu yana Apple, başvuruyla ilişkili imzayı iptal etti.
Bu yazının yazıldığı sırada, Apple’ın kötü amaçlı yazılım engelleme aracı XProtect’in, kötü amaçlı yazılımın yürütülmesini engelleme konusunda güçsüz kalması endişe vericidir.
Bu bulgu, XLoader’ın teknik nüanslarını ve uyarlanabilir davranışını analiz etmenin aciliyetinin altını çiziyor.
Yaygın Yaygınlaştırma ve Para Kazanma:
XLoader’ın yeni varyantının oluşturduğu tehdidin boyutu, kötü amaçlı yazılım örneğinin Temmuz 2023 boyunca VirusTotal’a çok sayıda sunulmasıyla açıkça ortaya çıkıyor.
Gizli Kalıcılık ve Damlalık Mekanizmaları:
Kötü amaçlı OfficeNote uygulaması yürütüldükten sonra şüpheyi dağıtmak için bir hata mesajı görüntülerken, yükünü sessizce bırakıyor ve kalıcılık mekanizmaları kuruyor.
Ayırt edici bir yönü, sabit kodlanmış hata mesajını kodlamak için yığın dizesi tekniğinin kullanılmasıdır; bu, daha önceki XLoader yinelemelerini anımsatan bir yaklaşımdır.
Kötü amaçlı yazılım etkisizmiş gibi görünse de, yükünü hızla dağıtarak gizlenmiş minimal bir uygulamayı barındıran gizli bir dizin oluşturur.
Bu gizleme, kötü amaçlı yazılımın izlerinin tespit edilmesinin zor olmasını sağlar.
Öncekilere benzer şekilde XLoader’ın nihai amacı hassas verileri çalmak olmaya devam ediyor.
Apple API NSPasteboard’dan yararlanan kötü amaçlı yazılım, özellikle Chrome ve Firefox tarayıcılarını hedef alarak pano içeriklerini ele geçirmeye odaklanıyor.
Login.json dosyalarını bulma ve dışarı çıkarma konusundaki ustalığı, potansiyel olarak değerli verileri elde etme gücünün altını çiziyor.
XLoader’ın ayrıntılı iletişim stratejileri, çok sayıda sahte ağ çağrısı aracılığıyla ortaya çıkar.
Kötü amaçlı yazılımın meşru iletişimleri gizleme konusundaki ustalığı, gerçek komuta ve kontrol (C2) altyapısının yerini belirleme görevini daha da karmaşık hale getiriyor.
Analizden kaçınma çabası, manuel ve otomatik çözümler de dahil olmak üzere birçok katmanı kapsar.
XLoader, davranışını geciktirmek için uyku komutlarını kullanır ve ptrace’in PT_DENY_ATTACH’ını kullanarak hata ayıklama girişimlerini engeller.
Bizi GoogleNews, Linkedin üzerinden takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, twitterve Facebook.