MacOS kullanıcılarını hedefleyen sofistike yeni kötü amaçlı yazılım kullanıcıları ortaya çıktı, özellikle geliştiricileri ve kripto para birimi sahiplerini hedeflerken geleneksel antivirüs çözümlerini atlayabilir.
Modstealer olarak adlandırılan platformlar arası tehdit, 2024’te Apple kullanıcılarının karşılaştığı artan güvenlik zorluklarını vurgulayarak macOS odaklı siber suçtaki en son evrimi temsil ediyor.
Modstealer ilk olarak siber güvenlik firması Mosyle tarafından tanımlandı ve 11 Eylül 2024’te 9to5mac üzerinden rapor edildi.
Kötü amaçlı yazılım başlangıçta kamu açıklamasından yaklaşık bir ay önce Virustotal’da ortaya çıktı ve bu da tespit sistemlerinden kaçarken gizli modda çalıştığını gösterdi.
Tipik siber güvenlik açıklamalarının aksine, Mosyle resmi kanallar aracılığıyla kapsamlı teknik belgeler veya adli analiz detayları yayınlamamıştır.
Standart endüstri uygulamasından bu ayrılma, kötü amaçlı yazılımların iç işleri hakkında sınırlı teknik özelliklere sahip güvenlik araştırmacılarını bırakmıştır.
Modstealer, macOS, Windows ve Linux sistemlerinden ödün verebilen platformlar arası işlevselliği ile kendini ayırt eder.
Bu çok yönlülüğü sağlayan kesin mekanizmalar belirsizliğini korurken, platformlar arası kampanyalar genellikle kurban profiline dayalı işletim sistemine özgü yükleri dağıtmaktadır.
Kötü amaçlı yazılım, öncelikle iki yüksek değerli demografik gruba odaklanarak hedefleme metodolojisinde özel bir gelişmişlik göstermektedir:
Geliştiriciler, çeşitli çevrimiçi kaynaklardan geliştirme araçlarını ve kaynakları indirme eğilimlerinden yararlanarak sahte iş reklamları ve işe alım dolandırıcılıkları aracılığıyla hedeflenir.
Kötü amaçlı yazılım, sosyal mühendislik taktiklerinden yararlanır, saldırganlar meşru işe alım görevlilerini ve şirketleri kötü amaçlı yükler kullanmadan önce güven kurmak için taklit eder.
Kripto para birimi sahipleri ikinci birincil hedef grubu temsil eder ve Modstealer, hem Chrome hem de Safari platformlarında tarayıcı tabanlı cüzdan uzantılarını tehlikeye atmak için tasarlanmıştır.
Safari cüzdan uzantılarını hedefleyen infostealers, tehdit manzarasında nispeten nadir olduğu için bu özellik özellikle dikkat çekicidir.
Teknik yetenekler ve veri açığa çıkması
Modstealer, tehlikeye atılan sistemlerden çıkarılan değeri en üst düzeye çıkarmak için tasarlanmış kapsamlı bir veri hasat teknikleri paketi kullanır:
Tarayıcı uzantısı uzlaşması: Kötü amaçlı yazılım, özellikle Chrome/Chromium hem de Safari tarayıcılarındaki kripto para birimi cüzdan uzantılarına odaklanan 50’den fazla farklı tarayıcı uzantısını hedefler.
Pano İzleme: Stealer, kullanıcılar bu kimlik bilgilerini kopyalayıp yapıştırdıklarında kripto para birimi tohumu ifadeleri ve özel tuşlar gibi hassas bilgileri yakalamak için pano içeriğini sürekli olarak izler.
Ekran görüntüsü yakalama: Modstealer, görünür kullanıcı verilerini yakalamak için periyodik ekran görüntüleri alır ve potansiyel olarak ekranda görüntülenen hassas bilgiler dahil.
Tarayıcı Veri Hasatı: Kötü amaçlı yazılım, yerel depolama, LevelDB ve indexedDB içeriği, çerezler ve depolanan kimlik bilgileri dahil olmak üzere kaydedilmiş tarayıcı verilerini sistematik olarak çıkarır.
Uzaktan komut yürütme: Stealer, komut ve kontrol sunucuları ile iletişimi sürdürür ve saldırganların güvenliği ihlal edilmiş ağlarda veri toplama veya yanal hareket için ek komutlar yürütmesini sağlar.
Modstealer, meşru Apple sistem araçlarının kötüye kullanılması yoluyla macOS sistemlerinde gelişmiş kalıcılık yeteneklerini gösterir.
Kötü amaçlı yazılım, Apple’ın kendi Launchctl yardımcı programından yararlanarak uzun vadeli mevcudiyete ulaşarak kendisini sistemin başlangıç süreçleri içinde bir lansman olarak yerleştirir.
Bu teknik, macOS lansman ve başlangıç işlemlerine kalıcılık mekanizmalarının kurulmasını, kötü amaçlı yazılımların sistem yeniden başlatmalarından sağ çıkmasına ve tehlikeye atılan cihazlara sürekli erişimi sürdürmesine izin vermeyi içerir.
Stealer, gündelik sistem denetimi sırasında algılamayı önlemek için “sysupdater.dat” gibi zararsız adları kullanarak yük dosyalarını gizler.
Kötü amaçlı yazılımların antivirüs tespitinden kaçınma yeteneği, gelişmiş gizleme tekniklerinin ve muhtemelen geleneksel imza tabanlı algılama sistemlerine dahil edilmemiş sıfır günlük sömürü yöntemlerinin uygulanmasını önermektedir.
Yüksek riskli kullanıcı grupları üzerindeki etki
Geliştiricilerin ve kripto para sahiplerinin hedeflenmesi, potansiyel yatırım getirisine dayalı stratejik tehdit aktör karar almayı yansıtır.
Geliştiriciler genellikle yüksek sistem ayrıcalıklarına ve değerli fikri mülkiyete, kaynak koduna ve geliştirme altyapısına erişime sahiptir.
Kripto para birimi sahipleri, blockchain işlemlerinin geri dönüşü olmayan doğası ve tipik olarak tarayıcı tabanlı cüzdanlarda depolanan önemli finansal varlıklar nedeniyle yüksek değerli hedefleri temsil eder.
Kripto para biriminin ana akım benimsenmesi, birçok kullanıcı, doğal olarak riskli dijital ortamlarda çalışan tarayıcı uzantılarında önemli dijital varlıkları saklayarak daha büyük bir saldırı yüzeyi yarattı.
Hacken’deki Stephen Ajayi, DAPP ve AI denetimi teknik lider, geliştiriciler için gelişmiş güvenlik uygulamalarının önemini vurguladı: “Geliştiriciler işe alımcıların ve ilgili alanların meşruiyetini doğrulamalıdır.”
Hafifletme
Güvenlik uzmanları, yüksek riskli kullanıcı grupları için çeşitli savunma önlemleri önerir:
Geliştiriciler için:
- Herhangi bir dosyayı indirmeden veya teknik değerlendirmeleri tamamlamadan önce resmi şirket kanalları aracılığıyla işveren meşruiyetini doğrulayın.
- Talep ödevleri doğrudan dosya indirmeleri yerine kamu depoları aracılığıyla paylaşılır.
- Bilinmeyen kaynaklardan kod veya uygulamaları test etmek için tek kullanımlık sanal makineler kullanın.
- Kripto para birimi cüzdanlarına ve hassas geliştirme kaynaklarına erişmek için ayrı, sertleştirilmiş sistemleri koruyun.
Kripto para birimi kullanıcıları için:
- Tarayıcı tabanlı cüzdanlardan özel anahtarları çevrimdışı depolayan donanım cüzdanlarına geçmeyi düşünün.
- Cihaz ekranlarındaki işlem adreslerini onaylayarak, onaydan önce en azından ilk ve son altı karakteri doğrulayarak donanım cüzdan doğrulamasını uygulayın.
- Yalnızca kripto para birimi işlemlerine adanmış ayrı, kilitli tarayıcı profilleri oluşturun.
- Kripto para birimi ile ilgili tüm hesaplar için biyometrik bileşenlerle çok faktörlü kimlik doğrulamayı etkinleştirin.
Genel güvenlik uygulamaları:
- Çevrimiçi platformlarda depolanan hassas veri miktarını sınırlayarak dijital saldırı yüzeyini en aza indirin.
- Sıfır gün tehditlerine karşı sınırlamalarını fark ederken güncellenmiş antivirüs çözümlerini koruyun.
- Gereksiz veya şüpheli eklemeleri kaldırarak tarayıcı uzantılarını düzenli olarak inceleyin ve denetleyin
- Uzlaşma durumunda potansiyel yanal hareketi sınırlamak için ağ segmentasyonunu uygulayın.
Modstealer’ın ortaya çıkışı, 2024 boyunca MacOS hedefli kötü amaçlı yazılım evriminde ilgili eğilimin devamını temsil etmektedir.
Bu tehditlerin artan karmaşıklığı, Apple sistemlerinin diğer platformlardan doğal olarak daha güvenli olduğu yönündeki ortak yanlış anlayışa meydan okuyor.
Kötü amaçlı yazılımların, Gatekeeper da dahil olmak üzere Apple’ın yerleşik güvenlik mekanizmalarını atlama yeteneği, gelişmiş kalıcı tehditlerle karşı karşıya kaldığında şirketin güvenlik mimarisindeki potansiyel zayıflıkları vurgulamaktadır. Bu gelişme, macOS kullanıcılarının artık sadece belirlenmiş tehdit aktörlerine karşı koruma için yerleşik güvenlik özelliklerine dayanamayacağını göstermektedir.
Modstealer, MACOS kötü amaçlı yazılımlarının karmaşıklığı ve hedefleme hassasiyetinde önemli bir artışı temsil eder. Platformlar arası yetenekleri, gelişmiş kalıcılık mekanizmaları ve yüksek değerli hedeflere özel odaklanma, Apple kullanıcılarının karşılaştığı gelişen tehdit manzarasını göstermektedir.
Bu tehdidi çevreleyen sınırlı teknik açıklama, bağımsız güvenlik araştırmasının önemini ve siber güvenlik topluluğunda kapsamlı tehdit istihbarat paylaşımına duyulan ihtiyacın altını çizmektedir.
Mac Infostealer tehditleri daha yaygın ve etkili olmaya devam ettikçe, kullanıcılar reaktif koruma mekanizmalarına güvenmek yerine proaktif güvenlik önlemlerini benimsemelidir.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.