Kaspersky araştırmacıları, alışılmadık çeşitten bir macOS ziyanlı yazılım tipini ortaya çıkardı.
Kaspersky araştırmacıları, alışılmadık tipten bir macOS ziyanlı yazılım tipini ortaya çıkardı. Daha önce bilinmeyen korsan uygulamalar aracılığıyla gizlice dağıtılan bu makûs emelli yazılım ailesi, macOS kullanıcılarının dijital cüzdanlarında saklanan kripto paralarını çalmayı hedefliyor. Kaspersky tarafından daha önce keşfedilen proxy Truva atlarının bilakis, bu yeni tehdit kullanıcıları tehlikeye atmaya odaklanıyor.
Yeni keşfedile Truva Atı iki istikametten eşsiz özelliklere sahip. Birincisi, makûs gayeli Python betiğini yürütmek için DNS kayıtlarını kullanıyor. İkincisi sırf kripto cüzdanlarını çalmakla kalmıyor, cüzdan uygulamasını kendi virüslü sürümüyle değiştiriyor. Bu, cüzdanlarda saklanan kripto para ünitesine erişmek için kullanılan zımnî kelamın de çalmasına yol açıyor.
Kötü gayeli yazılım macOS’un 13.6 ve üzeri sürümlerini gaye alıyor ve hem Intel hem de Apple Silikon ile çalışan aygıtlarda, özellikle daha yeni işletim sistemi sürümü kullanıcılarına odaklandığını gösteriyor. Ele geçirilmiş disk imajları, bir aktivatör ve aranan uygulamayı içeriyor. Birinci bakışta zararsız üzere görünen aktivatör, kullanıcı şifresini girdikten sonra ele geçirilen uygulamayı etkinleştiriyor.
Saldırganlar, uygulamanın evvelden ele geçirilmiş sürümlerini kullanarak, çalıştırılabilir evrakları kullanıcı aktivatörü çalıştırana kadar işlevsiz hale getirecek halde değiştiriyor. Bu taktik, kullanıcının farkında olmadan güvenliği ihlal edilmiş uygulamayı etkinleştirmesini sağlıyor.
Yamadan sonra makus gayeli yazılım, berbat maksatlı etki alanı için DNS TXT kaydı alarak ve buradan Python betiğinin şifresini çözerek birincil yükünü çalıştırıyor. Ardından komut evrakı, tekrar bir Python komut dokümanı olan bulaşma zincirinin bir sonraki basamağını indirmeye çalışıyor.
Bir sonraki yükün gayesi sunucudan alınan keyfi komutları çalıştırmak. Yapılan araştırma sırasında hiçbir komut alınmasa ve arka kapı tertipli olarak güncelleniyor olsa da, makûs gayeli yazılım kampanyasının hala geliştirilmekte olduğu açıkça ortada. Kodların incelenmesi, ilgili komutların muhtemelen kodlanmış Python betikleri olduğunu gösteriyor.
Bahsedilen işlevlerin yanı sıra, komut evrakı, apple-analyzer[.]com alan ismini içeren iki pahalı özellik barındırıyor. Her iki işlev de kripto para cüzdanı uygulamalarının varlığını kontrol etmeyi ve bunları belirtilen alan isminden indirilen sürümlerle değiştirmeyi amaçlıyor. Bu taktiğin hem Bitcoin hem de Exodus cüzdanlarını hedef aldığı ve bu uygulamaları berbat niyetli olanlarla değiştirdiği gözlemlendi.
Kaspersky Güvenlik Araştırmacısı Sergey Puzan, şunları söyledi: “Korsan yazılımlarla temaslı macOS makus emelli yazılımı, bu alandaki kıymetli risklerin altını çiziyor. Siber kusurlular, kullanıcıların bilgisayarlarına basitçe erişmek ve parola girmelerini sağlayarak yönetici ayrıcalıkları elde etmek için korsan uygulamaları kullanıyor. Saldırıyı hazırlayanlar, DNS sunucusu kaydına bir Python betiği gizlemek formunda alışılmadık bir yaratıcılık sergiliyor ve bu da berbat emelli yazılımın ağ trafiğindeki kapalılık düzeyini artırıyor. Kullanıcılar, özellikle kripto para cüzdanları konusunda ekstra dikkatli olmalı. Kuşkulu sitelerden doküman indirmekten kaçının ve daha kâfi müdafaa için sağlam siber güvenlik analizleri kullanın.”
Securelist.com’da macOS için kripto Truva atı ve arka kapı hakkında daha fazla bilgi edinebilirsiniz.
Kaspersky araştırmacıları, Truva atlarına karşı inançta kalmak ve kripto varlıklarınızı korumak için aşağıdaki önlemleri almanızı tavsiye ediyor:
- Uygulamalarınızı sadece Apple App Store üzere resmi mağazalardan indirmek daha inançlıdır. Bu mağazalardaki uygulamalar %100 inançlı değildir, ama en azından mağaza yöneticileri tarafından kontrol edilirler ve belli filtreleme sistemleri vardır. Her uygulama bu mağazalara basitçe giremez.
- Güvenilir bir güvenlik tahlili yükleyin ve tavsiyelerine uyun. İnançlı analizler meşakkatlerin birçoklarını otomatik olarak çözecek ve gerekirse sizi uyaracaktır.
- Güncellemeler çıktıkça işletim sisteminizi ve değerli uygulamalarınızı güncelleyin. Birçok güvenlik sorunu yazılımların güncellenmiş sürümleri yüklenerek çözülebilir.
- Tohum cümlenizi teminat altına alın. Donanım cüzdanınızı kurarken, tohum cümlenizi yazdığınızdan ve inançlı bir formda sakladığınızdan emin olun. Kaspersky Premium üzere sağlam bir güvenlik analizi, taşınabilir aygıtınızda veyahut bilgisayarınızda saklanan kripto bilgilerinizi koruyacaktır.
- Güçlü parolalar kullanın: Kolay kestirim edilebilir parolalar kullanmaktan veyahut diğer hesaplardaki parolalarınızı tekrar kullanmaktan kaçının. Parolaları etkili ve inançlı bir biçimde yönetmek için Kaspersky Password Manager kullanabilirsiniz.
YORUMLAR