Sentinelone’daki güvenlik araştırmacıları, en az 2020’den beri aktif olan bir macOS kötü amaçlı yazılım yükleyici platformu olan ReaderUpdate’in, birden fazla programlama dilinde yazılmış yeni varyantlarla önemli ölçüde geliştiğini keşfetti.
Daha önce birçok satıcı tarafından nispeten fark edilmeden giden kötü amaçlı yazılım, şimdi orijinal derlenmiş Python ikilisine ek olarak Crystal, NIM, Rust ve en son Go’da yazılmış versiyonları içeriyor.
Şimdiye kadar herkese açık olarak bildirilmeyen Go varyant, kurban için benzersiz bir tanımlayıcı oluşturmak için sistem donanım bilgilerini toplayan 4.5MB x86 ikili.
Daha sonra kendini ~/kütüphane/uygulama desteğine/dizinine kopyalayarak ve girişte yürütmek için LaunchAgents klasöründe bir eşlik.
Sofistike gizleme teknikleri
GO varyant, randomize fonksiyon adları ve karakter ikame algoritmaları yoluyla dize gizleme dahil olmak üzere tespitten kaçınmak için çeşitli gizleme yöntemi kullanır.
Kötü amaçlı yazılım karakterleri yığın üzerine birleştirir veya C2 URL’leri ve özellik listesi içeriği gibi kritik dizeleri gizlemek için basit ikame rutinleri kullanır.
Sentinelone araştırmacıları, AirconditionSontop dahil olmak üzere yedi benzersiz alana bağlanan GO varyantının dokuz örneğini belirlediler.[.]com ve StreamingLeaksnow[.]com.
Bu alanlar, tüm ReaderUpdate varyantlarını birbirine bağlayan daha büyük bir altyapının parçasıdır.
Enfeksiyon zinciri ve potansiyel tehditler
ReaderUpdate enfeksiyonları genellikle ücretsiz veya üçüncü taraf yazılım indirme siteleri aracılığıyla, genellikle sahte yardımcı uygulamalar içeren paket yükleyiciler aracılığıyla teslim edilen kötü amaçlı yazılımlarla başlar.
Kurulduktan sonra, kötü amaçlı yazılım sunucuları komuta etmek ve kontrol etmek için uzanır ve operatörlerin gönderdiği uzaktan kumanda komutlarını yürütür.
ReaderUpdate öncelikle Genieo (Dolittle) reklam yazılımı sunmakla ilişkilendirilmiş olsa da, güvenlik araştırmacıları yükleyicinin daha fazla kötü amaçlı yük sunma yeteneğine sahip olduğu konusunda uyarıyor.
Tasarımı, diğer tehdit aktörlerine install ödeme (PPI) veya Hizmet Olarak Kötü Yazılım (MAAS) olarak sunulabilecek bir yükleyici platformu ile tutarlıdır.
ReaderUpdate’in tüm sürümleri yalnızca X86 Intel mimarisi için derlenmiştir, yani Rosetta 2’nin Apple Silikon Mac’lerinde yürütülmesini gerektirir.
Kötü amaçlı yazılım, enfekte olmuş sistemlerde ~/kütüphane/uygulama desteği/yazıcılar/yazıcılar ve ~/kütüphane/uygulama desteği/etc/etc dahil olmak üzere, LaunchAgents klasöründe karşılık gelen kalıcılık ajanları ile gözlemlenmiştir.
Güvenlik uzmanları, reklam yazılımı sunmaya odaklanmasına rağmen, tehlikeye atılan ana bilgisayarların, operatörlerin teslim etmeyi seçtikleri herhangi bir yüke karşı savunmasız kaldığını ve bu gelişen tehdide karşı güçlü savunma önlemlerinin önemini vurguladığını vurgulamaktadır.
SOC/DFIR ekiplerinden misiniz? -Kötü amaçlı yazılımları, kimlik avı olaylarını analiz edin ve herhangi biriyle canlı erişim sağlayın. Run -> Şimdi ücretsiz başlayın.