Ocak 2025’te ortaya çıkan sofistike bir bilgi çalan kötü amaçlı yazılım olan Frigidstealer, MacOS uç noktalarını aldatıcı taktiklerle hassas kullanıcı verilerini çalmaya aktif olarak hedefliyor.
Geleneksel kötü amaçlı yazılımlardan farklı olarak, FrigidStealer, kullanıcıdan rutin yazılım güncellemelerine olan güvenini kullanıyor ve bu da özellikle sinsi hale getiriyor.
Kötü amaçlı yazılım, siber güvenlik uzmanları arasında, şüphesiz kullanıcılardan değerli kişisel bilgileri toplarken standart güvenlik önlemlerini atlama yeteneği nedeniyle önemli endişeler doğurmuştur.
.png
)
Saldırı vektörü, özellikle kötü niyetli kodları, tehlikeye atılan web sitelerinde barındırılan sahte tarayıcı güncelleme sayfaları aracılığıyla dağıtarak sosyal mühendislik tekniklerine dayanır.
Kullanıcılar manuel yürütme gerektiren kötü amaçlı bir disk görüntü dosyası (DMG) indirmek için kandırılır.
Başlatıldıktan sonra, kötü amaçlı yazılım, kullanıcıları Applescript aracılığıyla şifrelerini girmelerini ve sistemde yüksek ayrıcalıklar vererek MacOS Gatekeeper korumalarını atlar.
Wazuh analistleri, MacOS ortamlarına yönelik ortaya çıkan tehditleri araştırmaları sırasında kötü amaçlı yazılımların sofistike operasyonel mekaniğini belirlediler.
Araştırmaları, Frigidstealer’ın finansal motivasyonlarının potansiyel olarak kötü şöhretli Evilcorp Sendikası ile bağlantılı olduğunu ve hem bireysel kullanıcılar hem de işletmeler için ciddi tehdidinin altını çizdiğini ortaya koydu.
Çalınan veriler, kimlik hırsızlığı ve finansal sahtekarlık riskleri oluşturan kimlik bilgileri ve kripto para cüzdanları içerir.
Yürütme üzerine, kötü amaçlı yazılım kendisini macOS uç noktasında “Ddaolimaki-Daunito” adlı bir uygulama olarak kaydeder ve yürütülebilir yol tipik olarak “Ciltes/Safari Updrater/Safari Updater.App” da bulunur.
Bu aldatıcı adlandırma konvansiyonu, meşru yazılım bileşenleri için hata yapabilecek sıradan kullanıcılar tarafından tespit edilmeme yeteneğini daha da geliştirir.
Kalıcılık mekanizması ve veri açığa çıkması
Frigidstealer, sistem yeniden başlatmalarında operasyonel kalmasını sağlayan sofistike tekniklerle kalıcılık oluşturur.
Kötü amaçlı yazılım, enfekte sistemler üzerindeki varlığını korumak için “com.wails.ddaolimaki-daunito” demet kimliğine sahip bir ön plan uygulaması olarak LaunchServicesd’den yararlanır.
Bu kalıcılık stratejisi, meşru sistem süreçlerini taklit ettiği için özellikle etkilidir.
Veri püskürtme işlemi, hassas bilgileri hedeflemek için yetkisiz işler arası iletişim için Apple olaylarının kullanılmasını içerir.
Bu teknik, kötü amaçlı yazılımların standart güvenlik uyarılarını tetiklemeden tarayıcı kimlik bilgilerine, dosya sistemi verilerine ve sistem yapılandırma ayrıntılarına erişmesini sağlar.
Kötü amaçlı yazılımların yürütülmesinin bir örneği aşağıdaki komut paterni ile tespit edilebilir:-
# Detection of FrigidStealer DNS exfiltration
macOS_mDNSResponder
(?i)(DNSServiceQueryRecord).*mask\.hash: '(\S+)'.*pid:(\d+).*\((.+)\)
program_type,hash,pid,process_nameKimlik bilgilerini ve diğer değerli verileri başarıyla topladıktan sonra, FrigiDstealer, MDNSResponder işlemi aracılığıyla DNS veri açığa çıkması yoluyla çalınan bilgileri komut ve kontrol sunucularına söndürür.
Bu teknik, kötü niyetli trafiği meşru DNS sorguları olarak gizlediğinden, geleneksel ağ izleme araçları aracılığıyla algılamayı zorlaştırdığı için özellikle sinsidir.
Başarılı bir uygulama sonrasında, kötü amaçlı yazılım, operasyonunun izlerini ortadan kaldırmak için ana sürecini sonlandırır ve adli analizi daha da karmaşıklaştırır.
Bu tehdit gelişmeye devam ettikçe, siber güvenlik uzmanları, macOS ortamları için özel olarak tasarlanmış kapsamlı uç nokta korumasının uygulanmasını, yazılım güncelleme istemlerine ilişkin uyanıklığın sürdürülmesini ve Wazuh gibi soğukkanlı enfeksiyonlarla ilişkili benzersiz davranış kalıplarını tanımlayabilen özel algılama araçlarını kullanmayı önermektedir.
How SOC Teams Save Time and Effort with ANY.RUN - Live webinar for SOC teams and managers