“ReaderUpdate” olarak bilinen sofistike bir macOS kötü amaçlı yazılım yükleyici platformu, NIM ve Rust Programlama dillerinde yazılmış yeni varyantları tanımlayan, yeteneklerini önemli ölçüde geliştirdi.
En az 2020’den beri aktif olmasına rağmen, bu tehdit birçok güvenlik satıcısı tarafından büyük ölçüde tespit edilmemiştir.
Başlangıçta derlenmiş bir Python ikili olarak dağıtılan ReaderUpdate, Crystal, NIM, Rust ve en son Go’daki uygulamalarla birlikte, kötü amaçlı yazılım yazarlarının uyarlanabilirliğini ve teknik sofistikliğini sergiledi.
Kötü amaçlı yazılım genellikle kurbanlara, genellikle “Dragondrop” gibi sahte veya truva işlemli hizmet uygulamaları içeren paket yükleyicileri içinde gizlenmiş ücretsiz veya üçüncü taraf yazılım indirme siteleri aracılığıyla ulaşır.
Yüklendikten sonra ReaderUpdate, daha fazla talimat almak veya ikincil yükler sunmak için Kalıcılık oluşturur ve komut ve kontrol (C2) sunucularıyla iletişim kurar.
Bugüne kadar, çoğu enfeksiyon Genieo (diğer adıyla Dolittle) reklam yazılımı sağladı, ancak platformun yetenekleri bu nispeten iyi huylu yükün çok ötesine uzanıyor.
Sentinelone araştırmacıları, kötü amaçlı yazılımların modüler mimarisi ve yükleyici yeteneklerinin, daha tehlikeli yükler sunmak için kolayca dönebileceğinden, özellikle ilgilendiğini belirtti.
Analiz, kötü amaçlı yazılım operatörlerinin, giriş yolu da dahil olmak üzere birden çok alanı kapsayan kapsamlı bir altyapı oluşturduğunu ortaya koydu.[.]Dünya, Airconditionersontop[.]com ve StreamingLeaksnow[.]com, diğerleri arasında.
Bu altyapı tüm varyant türlerini ortak bir işleme bağlar.
Kötü amaçlı yazılımların beş farklı programlama diline uygulanması, çeşitlendirmeye alışılmadık bir yatırımı temsil etmektedir.
Derlenmiş Python versiyonu 5.6MB ağırlığındadır, Go varyantı 4.5MB, Crystal 1.2MB, Rust 400KB ve NIM sadece 166kb’de en küçüktür. Bu çeşitlilik, farklı geliştirme platformlarında algılama kaçınma teknikleri ile olası deneyler önermektedir.
Enfeksiyon mekanizması ve kalıcılık
ReaderUpdate’in enfeksiyon dizisi, yerel System_Profiler Sphardwaredatatype komutunu kullanarak sistem donanım bilgilerini toplayarak başlar. Bu veriler, daha sonra C2 sunucularına iletilen kurban için benzersiz bir tanımlayıcı oluşturur.
Kötü amaçlı yazılım daha sonra yürütme konumunu doğrular ve gerekirse özel bir klasör yapısı oluşturur:-
~/Library/Application Support//
~/Library/LaunchAgents/com..plistKalıcılık için, ReaderUpdate, kötü amaçlı yazılımları girişte yürüten bir lansman oluşturur. Plist dosya tutarlı bir desen izler:-
Label
com.etc
KeepAlive
RunAtLoad
Program
/Users/[username]/Library/Application Support/etc/etcBu kurulum, kötü amaçlı yazılımın, operatörlerinden daha fazla komut almak için kendisini konumlandırırken sistem yeniden başlatmalarına karşı esnekliği sürdürmesini sağlar.
Yükleyicinin keyfi komutlar yürütme özelliği, onu, MacOS kullanıcılarını hedefleyen Hizmet Olarak Kötü Yazılım (MAAS) işlemleri için potansiyel bir vektör haline getirir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free