En az 2020’den beri Windows tabanlı cihazlara saldıran bir uzaktan erişim trojanı (RAT) olan HZ RAT, yakın zamanda güncellendi ve Mac kullanıcılarını da hedef alacak şekilde değiştirildi.
RAT, genellikle bir saldırganın hedef bilgisayarın uzaktan kontrolünü ele geçirmek ve tam yönetici yetkilerini elde etmek için kullandığı bir tür kötü amaçlı yazılımdır.
RAT’lar sıklıkla hedeflerine kimlik avı e-postaları aracılığıyla e-posta eki olarak iletilir veya video oyunları gibi meşru kullanıcı istekleri gibi görünen uygulamalarla birlikte indirilir.
Intego, 5 Eylül’de macOS ortamlarına saldırmak üzere tasarlanan HZ RAT’ın yeni bir sürümünün piyasaya sürüldüğünü duyurdu.
CISO’larla tanışın, uyumluluğu öğrenmek için Sanal Panele katılın – Ücretsiz Katılın
HZ RAT hakkında daha önce yayınlanan raporlara göre, Intego atıf bilgilerini açıklamasa da kötü amaçlı yazılımın kaynağı Çin’dir.
Mac kötü amaçlı yazılım ailesine yeni eklenen HZ RAT, bir saldırgana tam uzaktan yönetim erişimi sağlayan bir araçtır. Bu RAT ilk olarak 2022’de Windows PC’lerde ortaya çıktı ve şimdi Mac’e de ulaştı.
macOS Kötü Amaçlı Yazılım HZ RAT’ın Davranışı
Moonlock raporunda belirtildiği gibi, HZ RAT kullanıcıları gözetleyebilir ve veri çalabilir, ancak yaratıcılığı ve kalıcılığı nedeniyle meşru bir hırsız değildir. Uzaktan erişim trojanı olarak, kötü amaçlı yazılım saldırgana tam uzaktan yönetici yetenekleri verir.
Raporda, “Kötü amaçlı yazılım ekran görüntüleri alabilir, kullanıcının yazdıklarını kaydedebilir, Google Parola Yöneticisi’nden veri çalabilir ve Çin’de popüler Mac uygulamaları olan WeChat ve DingTalk’a sızmak için kullanıcı verilerinin peşine düşebilir” ifadeleri yer alıyor.
Kötü amaçlı yazılımın kurulumunun ardından daha fazla talimat almak için bir komuta ve kontrol sunucusuyla bağlantı kurulur.
Bu, saldırganın sunucularına dosya yükleme ve çıkarma, sisteme keyfi dosyalar yazma ve uzak konumlardan PowerShell betiklerini ve komutlarını yürütme yeteneğine sahip olduğu anlamına gelir.
Yeni Mac zararlı yazılımının yayılmasında, sulama deliği tarzı saldırıların, sahte Google Reklamlarının ve web sitesi taklitlerinin kullanılabileceği düşünülüyor.
Kötü amaçlı yazılım, tehlikeye atılmış bir Mac’ten aşağıdaki bilgileri toplayabilir:
- Yerel IP adresi
- Bluetooth cihazları verileri
- Wi-Fi ağları ve kablosuz ağ bağdaştırıcıları verileri
- Cihazın bağlı olduğu ağ hakkında bilgi
- Donanım özellikleri
- Veri depolama bilgisi
- İhlal edilen cihazdaki uygulamaların listesi
- WeChat’ten bilgi
- DingTalk’tan kullanıcı ve kuruluş verileri
- Google Şifre Yöneticisi’nden kullanıcı adı ve web siteleri
Kötü amaçlı yazılım Google Şifre Yöneticisi’nden şifreleri toplamasa da saldırganların karanlık web’de elde edilen çalıntı şifre sızıntılarını kötü amaçlı yazılım tarafından çıkarılan kullanıcı adı ve diğer verilerle birleştirmek için kullandığından şüpheleniliyor.
Bu girişimin gerçek amacı, veri toplamanın dışında bilinmiyor. Daha da endişe verici olanı, güvenlik sağlayıcılarının bu fidye yazılımını tespit edememiş olması.
Ayrıca, Intego OpenVPN Connect VPN uygulamasını taklit eden bir kötü amaçlı yazılım örneği keşfetti. Güvenli Listenin analizi, bu kötü amaçlı yazılımın OpenVPN Connect gibi davrandığını ortaya koyuyor.
Bu kötü amaçlı yazılımın Windows sürümünün 2022’de incelenmesi, bu kötü amaçlı yazılımın çalışmasıyla ilişkili çok sayıda Çin IP adresi ve etki alanı keşfetti.
Listedeki IP’lerin yaklaşık yüzde 80’inin aktif olduğu ancak ulaşılamadığı, kalan yüzde 20’sinin ise inaktif olduğu tespit edildi.
Tavsiye
Mac’inizi bu ve diğer risklere karşı korumak için, yalnızca Apple App Store gibi güvenilir kaynaklardan yazılım indirin. İşletim sisteminizi ve güvenlik yazılımınızı güncelleyin ve şüpheli iletişimlere, bağlantılara veya eklere karşı dikkatli olun.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14-day free trial