Siber güvenlik araştırmacıları, uç nokta güvenlik çözümlerini atlamak ve Rhadamanthys Shellcode yükleri sunmak için gelişmiş teknikler kullanan “Coffeeloader” olarak adlandırılan macOS sistemlerini hedefleyen gelişmiş yeni kötü amaçlı yazılım sistemlerini ortaya çıkardılar.
Kötü amaçlı yazılım, Apple’ın ekosistemini hedefleyen tehditlerde önemli bir evrimi temsil eder ve kaçınma taktiklerinde artan karmaşıklığı gösterir.
İlk analiz, kahve yüklerinin kalıcılığı korumak ve geleneksel güvenlik önlemleri tarafından tespit etmekten kaçınmak için meşru sistem süreçlerinden yararlandığını göstermektedir.
Kötü amaçlı yazılım öncelikle, meşru PDF belgeleri veya uygulama yükleyicileri olarak görünen kötü niyetli ekler içeren uzlaşılmış yazılım indirmeleri ve kimlik avı e -postaları aracılığıyla yayılır.
Yürütüldükten sonra, Coffeeloader sistem dosyalarını değiştirerek ve bileşenlerini depolamak için gizli dizinler oluşturarak bir dayanak oluştururken, aynı zamanda macOS’a özgü bazı güvenlik özelliklerini devre dışı bırakır.
Zscaler araştırmacıları, öncelikle Doğu Avrupa’da barındırılan komut ve kontrol sunucuları ile iletişim kuran enfekte sistemlerden olağandışı ağ trafik modellerini gözlemledikten sonra tehdidi belirledi.
Analizleri, kötü amaçlı yazılımın, yürütmenin her aşamasında tespitten kaçınmak için tasarlanmış çok aşamalı bir enfeksiyon süreci kullandığını ve bu da iyileştirmeyi güvenlik ekipleri için zorlaştırdığını ortaya koydu.
Coffeeloader’ın saldırı vektörü, başlangıçta kendisini kurulum izinleri gerektiren iyi huylu bir uygulama olarak sunarak kullanıcı ayrıcalıklarından yararlanmaya dayanır.
Bu ayrıcalıkları elde ettikten sonra, standart güvenlik taramalarına görünmez kalırken sistem yeniden başlamaları boyunca kalıcılık mekanizmaları oluşturan bir dizi gizlenmiş komut dosyası kullanır.
Enfekte sistemler, sistem kaynaklarını kullanarak dağıtılmış saldırıları başlatabilen veya kripto para birimini başlatabilen, performansı önemli ölçüde azaltacak ve potansiyel olarak iş kesintisine neden olan daha büyük bir Botnet altyapısının parçası haline geldiğinden, etki veri hırsızlığının ötesine uzanır.
Enfeksiyon mekanizması analizi
Kötü amaçlı yazılım enfeksiyon süreci, kötü amaçlı kodları meşru süreçlere yüklemek için “dylib kaçırma” adı verilen bir teknikten yararlanan görünüşte zararsız bir yürütülebilir ürünle başlar.
Bu işlem, aşağıdakilere benzer kodu içerir:-
void inject_payload(void) {
mach_vm_address_t addr;
mach_vm_allocate(task, &addr, payload_size, VM_FLAGS_ANYWHERE);
mach_vm_write(task, addr, (vm_offset_t)payload, payload_size);
thread_act_t thread;
thread_create_running(task, x86_THREAD_STATE64, (thread_state_t)&state, x86_THREAD_STATE64_COUNT, &thread);
}.webp)
Analistler, kuruluşların hemen son nokta koruma çözümlerini güncellemelerini, uygulama izin vermesini uygulamayı ve bu ortaya çıkan tehdidi azaltmak için şüpheli lansman ajanlarını veya daemonları taramasını önerir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free