- Kötü amaçlı yazılım, Windows ve macOS cihazlarını proxy düğümlerine dönüştürür.
- Güvenliği ihlal edilmiş makineler, trafiği gizli proxy çıkış noktaları olarak yeniden yönlendirir.
- Kötü niyetli aktörler, virüslü sistemleri proxy istekleri için kullanır.
- Windows ve macOS cihazları, yetkisiz etkinlikler için yeniden tasarlandı.
- AT&T Alien Labs, kötü amaçlı yazılım kaynaklı endişe verici bir proxy fenomenini ortaya koyuyor.
AT&T Alien Labs’daki siber güvenlik araştırmacıları, kötü niyetli aktörlerin kötü amaçlı yazılım bulaşmış Windows ve macOS makinelerini proxy isteklerini yeniden yönlendirmek için proxy çıkış düğümleri olarak kullandığı endişe verici bir olguya ışık tuttu.
Bir vekil sunucu uygulaması kullanan bu aktörler, proxy çıkış düğümleri oluşturmak için güvenliği ihlal edilmiş sistemleri gizlice kullanıyor ve proxy isteklerini yeniden yönlendirmelerini sağlıyor. Proxy hizmetinin web sitesinin iddia ettiği gibi, bu proxy çıkış düğümlerinin yalnızca bilerek katılmayı kabul eden kullanıcılardan kaynaklanmadığı anlaşılıyor.
Saldırı vektörü, proxy sunucularının, crackli yazılım ve oyun teklifleriyle baştan çıkarılmış, şüphelenmeyen kullanıcıları hedef alan çeşitli kötü amaçlı yazılım türleri aracılığıyla sunulmasını içerir. Çok yönlü Go programlama dili kullanılarak kodlanan proxy uygulaması, macOS ve Windows da dahil olmak üzere birden çok işletim sisteminde uyumluluk sağlar.
Çarpıcı bir gözlem, macOS ve Windows sistemleri arasındaki algılama oranlarındaki farktır. Proxy uygulamasının Windows sürümü, imzalı yapısı nedeniyle güvenlik önlemlerinden zahmetsizce kurtulurken, macOS varyantı daha kolay algılanır.
AT&T’nin blog gönderisine göre, Kötü amaçlı yazılım, güvenliği ihlal edilmiş bir sistemde yürütüldüğünde, proxy uygulamasını gizlice yükleyerek kullanıcı etkileşiminden kaçınır ve aynı anda ek kötü amaçlı yazılım veya reklam yazılımı bileşenlerini devreye sokar. Bu gizli süreci gerçekleştirmek için kötü amaçlı yazılım yaratıcıları, yaygın olarak kullanılan bir Windows yükleyicisi olan Inno Setup’ı kullanır. Bu araç, proxy’nin sistem içinde sorunsuz kurulumunu ve kalıcılığını kolaylaştırarak paketlenmiş yürütülebilir dosyaların oluşturulmasını sağlar.
Kötü amaçlı yazılım güdümlü proxy sunucusunun doğası, komut ve kontrol sunucusu (C&C) ile olan iletişimine kadar uzanır. Proxy uygulaması yalnızca belirli parametreleri C&C’ye iletmekle kalmaz, aynı zamanda işlemler, CPU ve bellek kullanımı ve hatta pil durumu dahil olmak üzere güvenliği ihlal edilmiş sistem hakkında kritik bilgileri toplar. Bu uyarlanabilir veri toplama, şüpheden kaçarken proxy’nin optimum performansını ve yanıt verebilirliğini sağlar.
Bağlı kuruluş programları aracılığıyla kötü amaçlı yazılım bulaşmış proxy sunucularından para kazanma, önemli bir zorluk teşkil ediyor. Inno Setup ile paketlenen proxy uygulaması, kayıt defteri anahtarları ve zamanlanmış görevler dahil olmak üzere birden fazla mekanizma aracılığıyla varlığını sürdürür ve proxy’nin yetkisiz finansal kazançlar için sürekli olarak gizli bir kanal olarak işlev görmesini sağlar.
Kampanyanın ifşası, AT&T Alien Labs tarafından AdLoad reklam yazılımı bulaşmış macOS sistemlerinin geniş bir konut proxy botnet’i için çıkış düğümleri olarak yeniden amaçlandırıldığı önceki bulgularına dayanıyor.
Bu model potansiyel olarak AdLoad operatörlerinin bir yükleme başına ödeme kampanyası düzenlediğini gösteriyor. Meşru uygulamalar kılığına giren kötü şöhretli bir reklam yazılımı türü olan AdLoad, şüphelenmeyen kullanıcıları kötü amaçlı web sitelerine yönlendirmek için kullanıyor ve sonuçta bu planlardan kâr sağlıyor.
Dark web, bilgi hırsızı türlerinin ve macOS güvenlik mekanizmalarını atlatmayı amaçlayan karmaşık araçların reklamlarında katlanarak bir artış gördüğünden, bu gelişen tehdit ortamı özellikle macOS kullanıcılarını endişelendiriyor.
Geçtiğimiz birkaç yıl, kurumsal ortamlarda artan yaygınlıkları ve kötü niyetli faaliyetlerden yüksek kazanç sağlama potansiyeli nedeniyle macOS cihazlarını hedeflemeye yoğun bir şekilde odaklanıldığına tanık oldu.