macOS Trojan Yükseltmeleri: İmzalı Uygulama Aracılığıyla Yayılan Şifreleme, Kullanıcıları Daha Fazla Gizli Riskle Karşı Karşıya Bırakıyor

BlockBeats News, 23 Aralık: SlowMist Baş Güvenlik Sorumlusu 23pds, macOS platformunda aktif olan MacSync Stealer kötü amaçlı yazılımının önemli bir evrim geçirdiğini ve kullanıcı varlıklarının zaten çalındığını belirten bir paylaşım yaptı. Paylaştığı makalede, daha önce "Terminal'e sürükle-bırak" ve "ClickFix" gibi düşük eşikli teşvik yöntemlerine güvenmekten vazgeçilerek, kod imzalama ve Apple tarafından noter onaylı Swift uygulamalarına geçildiği ve bu sayede gizliliğinin önemli ölçüde artırıldığı belirtildi.

Araştırmacılar, bu örneğin, kullanıcıları indirmeye teşvik etmek amacıyla anlık mesajlaşma veya yardımcı uygulama kılıfına bürünmüş zk-call-messenger-installer-3.9.2-lts.dmg adlı bir disk imajı şeklinde yayıldığını tespit etti. Önceki sürümlerden farklı olarak, yeni sürümde kullanıcının herhangi bir terminal işlemi yapmasına gerek kalmıyor; bilgi hırsızlığı sürecini tamamlamak için yerleşik bir Swift yardımcı programı tarafından uzak bir sunucudan kod çekilip çalıştırılıyor.

Bu kötü amaçlı yazılım, Apple tarafından kod imzası alınmış ve onaylanmıştır; geliştirici ekip kimliği GNJLS3UYZ4'tür ve ilgili karma değer, analiz sırasında Apple tarafından iptal edilmemiştir. Bu, macOS'un varsayılan güvenlik mekanizmaları altında daha yüksek bir "güven düzeyine" sahip olduğu ve kullanıcı gözetimini atlatmayı kolaylaştırdığı anlamına gelir. Araştırma ayrıca, DMG dosyasının alışılmadık derecede büyük olduğunu ve şüpheyi daha da azaltmak için diğerlerinin yanı sıra LibreOffice PDF'leriyle ilgili yanıltıcı dosyalar içerdiğini ortaya koymuştur.

Güvenlik araştırmacıları, bu tür bilgi hırsızlığı yapan truva atlarının genellikle tarayıcı verilerini, hesap kimlik bilgilerini ve kripto para cüzdanı bilgilerini hedef aldığını belirtti. Kötü amaçlı yazılımlar Apple'ın imzalama ve noter tasdik mekanizmasını sistematik olarak kötüye kullanmaya başladıkça, macOS ortamındaki kripto para kullanıcıları kimlik avı ve özel anahtar sızıntısı riskleriyle karşı karşıya kalıyor.

Kullanıcıların, bilgi hırsızlığı yapan bu son kötü amaçlı yazılım türlerine karşı korunmak için Jamf for Mac'te tehdit önleme ve gelişmiş tehdit kontrolünün etkinleştirildiğinden ve engelleme moduna ayarlandığından emin olmaları önemle tavsiye edilir.