MacSync Stealer kötü amaçlı yazılımının yeni bir sürümü, dijital olarak imzalanmış ve noter tasdikli uygulamalar aracılığıyla macOS kullanıcılarını hedef alıyor ve bu tehdidin yayılma biçiminde büyük bir değişime işaret ediyor.
Kullanıcıların Terminal’e komut yapıştırmasını gerektiren eski sürümlerin aksine, bu güncellenmiş sürüm arka planda sessizce çalışıyor.
Kötü amaçlı yazılım, meşru bir yükleyici gibi görünerek, zk-call-messenger-installer-3.9.2-lts.dmg adı altında sahte bir web sitesi aracılığıyla dağıtılıyor.
Kurulduktan sonra kurbanın bilgisayarından hassas bilgileri çalan gizli bir komut dosyasını indirip çalıştırıyor.
Kötü amaçlı yazılım bir Swift uygulaması olarak paketleniyor ve Apple’ın Geliştirici Ekibi Kimliği GNJLS3UYZ4 ile imzalanıyor; bu, macOS’un genellikle güvenilmeyen yazılımlar için gösterdiği ilk güvenlik uyarılarını atlamasına olanak tanıyor.
.webp)
Araştırmacılar bunu bulduğu sırada Apple henüz sertifikayı iptal etmemişti; bu da kötü amaçlı yazılımın uyarıları tetiklemeden yüklenebileceği anlamına geliyordu. Disk görüntü dosyası alışılmadık derecede büyük (25,5 MB) çünkü daha meşru görünmesi için LibreOffice ile ilgili sahte PDF dosyaları içeriyor.
VirusTotal’a yüklendiğinde, bazı antivirüs motorları onu paralara veya ooiid kötü amaçlı yazılım ailelerine bağlı genel bir indirici olarak algıladı.
Jamf analistleri, bu kötü amaçlı yazılımı, algılama sistemlerini olağandışı etkinlik açısından kontrol ederken tespit etti. Kötü amaçlı yazılımın, genellikle terminale sürükleme veya ClickFix tekniklerine dayanan daha önceki MacSync kampanyalarında görülen tipik kalıpları takip etmediğini fark ettiler.
.webp)
Bu yeni yaklaşım, Terminal ile kullanıcı etkileşimi ihtiyacını ortadan kaldırarak mağdurların saldırıya uğradıklarını fark etmelerini çok daha zorlaştırıyor.
Tehdidin onaylanmasının ardından Jamf Threat Labs, kötü amaçlı Geliştirici Ekibi Kimliğini Apple’a bildirdi ve sertifika daha sonra iptal edildi.
Swift Tabanlı Yürütme ve Yük Teslimatı
Kötü amaçlı yazılım, tüm bulaşma sürecini yöneten, Swift tarafından oluşturulmuş runtimectl adlı bir yardımcı program kullanıyor. Program başlatıldığında checkInternet() fonksiyonunu kullanarak bilgisayarın internet bağlantısı olup olmadığını kontrol eder.
.webp)
Bağlanırsa ikinci aşama veriyi hxxps://gatemaden adresinden indirmeye devam eder.[.]space/curl/985683bd660c0c47c6be513a2d1f0a554d52d241714bb17fb18ab0d0f8cc2dc6 curl komutunu kullanarak.
Komut dosyası /tmp/runner’a kaydedilir ve ardından geçerli bir kabuk komut dosyası olduğundan emin olmak için /usr/bin/file –mime-type -b komutunu çalıştırarak text/x-shellscript ile eşleştiğini doğrulayarak kontrol edilir.
.webp)
Veri yükünü çalıştırmadan önce, kötü amaçlı yazılım, com.apple.quarantine işaretini kaldırKarantina(at:) kullanarak kaldırır ve yürütülebilir hale getirmek için dosya izinlerini 750’ye ayarlar.
Ayrıca etkinliği kaydetmek ve kötü amaçlı yazılımın çok sık çalışmasını önlemek için ~/Library/Logs/UserSyncWorker.log konumunda günlük dosyaları oluşturur ve ~/Library/Application Support/UserSyncWorker/ konumunda izleme dosyaları oluşturur.
Hız sınırlayıcı bir mekanizma, kötü amaçlı yazılımın yalnızca her 3600 saniyede bir yürütülmesini sağlar.
Komut dosyası çalıştırıldıktan sonra, sistemdeki izleri kaldırmak için /tmp/runner dosyası silinir ve kötü amaçlı yazılım, focusgroovy’ye bağlanır.[.]com ek yükleri indirmek ve komuta ve kontrol sunucusuyla iletişim kurmak için.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
