Mac.c olarak adlandırılan yeni bir MacOS Infostealer kötü amaçlı yazılım, yeraltı Hizmet Olarak Kötü Yazılım (MAAS) ekosisteminde zorlu bir yarışmacı olarak ortaya çıkmıştır.
“Mentalpositive” takma adı altında çalışan bir tehdit aktörü tarafından açıkça geliştirilen Mac.c, minimal ayak izi ile hızlı veri pessfiltrasyonu için optimize edilmiş kötü şöhretli atomik macOS stealer’ın (AMOS) aerodinamik bir türevini temsil eder.
Bu kötü amaçlı yazılım, meşru süreçleri taklit eden gizli işlemler yapmak, böylece geleneksel uç nokta algılama ve yanıt (EDR) mekanizmalarından kaçınmak için elma ve sistem API’leri gibi yerel macOS yardımcı programlarından yararlanır.
Mac.c, dış bağımlılıklara güvenmeyi en aza indirerek, kaçınma yeteneklerini geliştirerek, adobe ürünleri gibi popüler yazılımlar için çatlaklar da dahil olmak üzere, iyi huylu uygulamalar olarak gizlenmiş truva atışçıları aracılığıyla sistemlere sızmasına izin verir.
MacOS Infostealer manzarasında tehdit
Moonlock Lab tarafından Dark Web forumlarında izlenen Mac.c’nin geliştirme yörüngesi, birkaç ay boyunca kod snippet’lerini, güncellemeleri ve özellik geliştirmelerini halka açık olarak paylaşan MentalPositive’den alışılmadık derecede şeffaf bir yaklaşım ortaya koymaktadır.
Bu strateji, bir kullanıcı tabanını geliştirmek ve niş macOS Maas pazarında güvenilirlik oluşturmak için tasarlanmıştır.
Anahtar ilerlemeler, statik analiz sırasında saptanabilir artefaktları azaltmak için ikili boyut optimizasyonu, bir idari kontrol paneli aracılığıyla bir uzak dosya yakalayıcının entegrasyonu, genişletilmiş tarayıcı uyumluluğu ve kimlik avı trezor kripto para cüzdan tohum ifadeleri için özel bir modül bulunur.
Ayrıca, Mac.c, Apple’ın XProtect antivirüs imzalarını atlatmak için dinamik yapı üretimi içerir ve her örneğin benzersiz bir şekilde gizlenmesini sağlar.
Moonlock Lab’ın kod analizi, AMOS ile sözlü benzerlikleri vurgular ve potansiyel kodun yeniden kullanımı veya işbirliği olduğunu düşündürür, ancak zihinsel Positive, “adil iş” uygulamalarına yönelik niyetleri, Amos geliştiricileri gibi yerleşik oyuncularla doğrudan yüzleşmeleri önlemek için ifade etmiştir.
İşlevsel olarak, Mac.c, kimlik avı vektörleri aracılığıyla saldırı zincirini başlatarak, kimlik bilgisi hasat için elma metnini sömüren ikincil aşamaya yükselen birincil yükü dağıtır.
ICloud anahtarlık girişlerini, Chrome, Edge, Cesur ve Yandex’ten tarayıcı ile saklanan şifreleri, Metamask, Phantom ve Binance gibi uzantılardan kripto para birimi cüzdan verilerini, sistem meta verilerini ve önceden tanımlanmış dizinlerden gelen dosyaları hedefler.
Özellikle sinsi bir taktik, daha sonra daha sonraki yetkisiz erişim için düz metin halinde saklanan kullanıcı şifrelerini istemek için “masum cadılar” oyununun taklit edilmesi gibi sistem istemlerini üretmeyi içerir.
Veri eksfiltrasyonu, büyük ölçüde elektrum, göç, Coinomi, Atomic, Monero, Wasabi ve Ledger Live gibi cüzdanlardan kripto para birimi artefaktlarına odaklanan saldırgan kontrollü sunucularla aşamalı iletişim yoluyla gerçekleşir.
Bu vurgu, MAC.C’nin kripto para birimi meraklılarının birincil hedeflemesinin altını çizerek, hemen kullanıcı farkındalığı olmadan NFT’ler ve StableCoins gibi dijital varlıkların hızla hırsızlığını sağlıyor.
Fiyatlandırma ve pazar etkisi
Trezor kimlik avı modülü için 1.000 $ ‘lık ek bir ücretle, MAC.C, AMOS’un aylık 3.000 $ maliyetini altüst ederek, daha az kaynaklı tehdit aktörleri için sofistike infostalerlere erişimi demokratikleştirerek aylık 1.500 $’ lık bir abonelik oranında fiyatlandırıldı.
Moonlock Lab, Mac.c’nin operasyonel etkinliğini doğrular ve CleanMyMac yazılımlarının kullanıcıları arasında CleanMyMac yazılımlarının kullanıcıları arasında yükleyici.dmg ve yükleyici descrakeador adobe.dmg gibi dosya adları altında tespit edilir.
Bu tespitler ihlalleri engellerken, muhtemelen kötü niyetli ve kimlik avı yoluyla aktif yayma kampanyalarını gösteriyorlar.
Amos, Mac.c ile karşılaştırıldığında, daha dar bir cüzdan ve uzantıları destekleyen daha az genel yetenek sunar, ancak hız odaklı tasarım ve maliyet verimliliği, kötü amaçlı yazılım dağıtımı konusunda uzmanlaşmış insan tacir aktörleri arasında popülerlik kazanmıştır.
Bu ortaya çıkış, MacOS Infostealer hiyerarşisini bozabilir, potansiyel olarak kıvılcım rekabetleri bozabilir, ancak zihinselliğin akranlarıyla dostane ilişkilere yönelik kararları bir arada var olma çabası olduğunu göstermektedir.
Moonlock Lab’ın bulguları, MacOS güvenlik araçlarındaki gelişmiş davranışsal analitiğin bu tür kaçak tehditlere karşı koymak için gelişmiş davranışsal analitik ihtiyacını vurgulamaktadır, çünkü imzaya dayalı tespite güvenmek yetersiz olduğunu kanıtlamaktadır.
MacOS kullanıcıları için, istenmeyen indirmelere karşı uyanıklık ve sistem diyaloglarının hızlı doğrulanması, özellikle kripto para birimi varlıklarını yönetenler için kritik olmaya devam etmektedir.
Karanlık Web Maas pazarı geliştikçe, Mac.c, açık geliştirme ve agresif fiyatlandırmanın özel kötü amaçlı yazılımların çoğalmasını nasıl hızlandırabileceğini ve Apple ekosistemlerinde son nokta güvenliğine yönelik riskleri nasıl ortaya koyabileceğini örneklendirir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!