Malwarebytes uzmanına göre, MacStealer kötü şöhretli bir hırsız olabilir, ancak şu anda iyileştirilmesi gerekiyor.
Bulut güvenliği konusunda uzmanlaşmış bir siber güvenlik şirketi olan Uptycs’in güvenlik araştırmacıları, çeşitli dosyaları, kripto para cüzdanlarını ve Firefox, Chrome ve Brave gibi belirli tarayıcılarda saklanan ayrıntıları çalabilen MacStealer adlı yeni bir macOS kötü amaçlı yazılımını keşfetti. Ayrıca, Apple’ın parola yöneticisi olan Keychain veritabanının base64 kodlu biçimini de çıkarabilir. macOS Catalina (10.5) kullanıcıları ve Intel M1 ile M2’ye bağımlı sürümleri bu kötü amaçlı yazılımdan etkilenir.
Ve MacStealer göründüğü halde the Malwarebytes’in çekirdek teknoloji direktörü Thomas Reed’e göre mac kötü amaçlı yazılımlarını izlemek oldukça basit. Geliştiricinin gelecekte MacStealer’a eklemek istediği öngörülebilir özellikleri göz önünde bulundurarak, “Kalıcılık yöntemi yoktur ve kullanıcının uygulamayı açmasına bağlıdır” diye ekliyor.
MacStealer, komuta ve kontrol (C2) merkezi olarak Telegram’daki kanalları kullanır. Kötü amaçlı yazılım, Mart ayının başından beri karanlık bir web forumunda tanıtıldı. Geliştiricilere göre, hala erken beta aşamasında, bu nedenle bir oluşturucu ve panelden yoksun. Geliştiricilerin MacStealer’ı bir hizmet olarak kötü amaçlı yazılım (MaaS) olarak dağıtmalarının, 100$ gibi düşük bir fiyata satmalarının ve gelecekte daha gelişmiş özellikler vaat etmelerinin nedeni de budur.
MacStealer, macOS sistemlerini bir imzasız disk görüntüsü (.DMG) dosyası olarak hedeflemeye gelir. Kullanıcılar, bu dosyayı sistemlerine indirip çalıştırmaları için yönlendirilir. Bir kez elde edildiğinde, sahte bir parola, kullanıcılardan gerçek parolalarını çalma girişiminde bulunmalarını ister. MacStealer daha sonra parolayı etkilenen sistemin geçici klasörüne (TMP) kaydeder.
Kötü amaçlı yazılım daha sonra aşağıdakileri de TMP klasörü içinde toplamaya ve kaydetmeye devam eder:
- Firefox, Chrome ve Brave’de hesap parolaları, tarayıcı tanımlama bilgileri ve depolanan kredi kartı ayrıntıları
- Kripto para cüzdanları (Binance, Coinomi, Exodus, Keplr Wallet, Martian Wallet, MetaMask, Phantom, Tron, Trust Wallet)
- Kodlanmış (base64) formundaki anahtarlık veritabanı
- Metin biçiminde anahtarlık parolası
- Çeşitli dosyalar (.TXT, .DOC, .DOCX, .PDF, .XLS, .XLSX, .PPT, .PPTX, .JPG, .PNG, .CVS, .BMP, .MP3, .ZIP, .RAR, .PY) , .DB)
- Metin biçiminde sistem bilgisi
MacStealer ayrıca çaldığı her şeyi bir ZIP dosyasına sıkıştırır ve tehdit aktörünün daha sonra toplaması için uzak C&C sunucularına gönderir. Aynı zamanda, çaldığı bilgilerin özet bir versiyonu önceden yapılandırılmış Telegram kanallarına gönderilerek, tehdit aktörünü çalınan yeni verilerin indirilmeye hazır olduğu konusunda uyarır.
MacStealer tarafından çalınanların bir veri özeti. Tehdit aktörleri bunu kişisel Telegram botlarında alırlar. (Kaynak: Uptycs)
Malwarebytes’ten Reed, MacStealer’ın imzasız bir DMG dosyası olmasının, programı modern bir mac üzerinde çalıştırmaya çalışan herkes, özellikle yeni başlayanlar için bir engel olduğunu söyledi. “Oturum açma parolaları için kimlik avı girişimi pek inandırıcı değil ve muhtemelen yalnızca acemi bir kullanıcıyı kandırır. Ancak böyle bir kullanıcı, onu açmakta güçlük çekecek türden bir kullanıcıdır.”
Malwarebytes, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüs bulaşmanızı engeller. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme edinin.
ŞİMDİ DENE