2021’de ortaya çıkan bir avuç kötü amaçlı yazılım örneği, Apple’ın teknolojilerinin Windows sistemlerine göre saldırıya ve taviz vermeye daha az eğilimli olmasına rağmen yenilmez olmadığını bir kez daha gösterdi.
Güvenlik araştırmacısı Patrick Wardle, art arda altıncı yıldır bir liste yayınladı bir yıl boyunca ortaya çıkan tüm yeni Mac kötü amaçlı yazılım tehditlerinin Wardle, her kötü amaçlı yazılım örneği için kötü amaçlı yazılımın bulaşma vektörünü, yükleme ve kalıcılık mekanizmalarını ve kötü amaçlı yazılımın amacı gibi diğer özellikleri belirledi. Geçen yıl ortaya çıkan her yeni Mac kötü amaçlı yazılım örneğinin bir örneği web sitesinde mevcuttur.
Onun listesi, teknolojinin büyük ölçüde uzaktan çalışanlar tarafından yönlendirildiği bir zamanda, güvenlik profesyonellerine macOS’u hedef alan tehditleri daha iyi anlamalarını sağlamak için tasarlandı. Mobil cihaz yönetimi satıcısı tarafından görevlendirilen 300 BT uzmanından oluşan bir anket Kandji geçen yıl, Apple cihaz kullanımının son iki yılda kuruluşların %76’sında arttığını gösterdi. Yüzde elli üçü, aynı dönemde kuruluşlarında Apple cihazlarına yönelik taleplerin arttığını bildirdi.
Wardle’ın listesi, 2021’de ortaya çıkan ve macOS’u hedefleyen sekiz yeni kötü amaçlı yazılım örneğinden oluşuyor. Bunlar arasında geçen Ocak ayında ortaya çıkan bir çapraz platform uzaktan erişim truva atı olan ElectroRAT; Geçen yıl piyasaya sürülen Apple’ın M1 çipini özel olarak hedefleyen bir kötü amaçlı yazılım aracı olan Silver Sparrow; XLoader, platformlar arası bir şifre hırsızı; ve OSX.CDDS veya MacMa, muhtemelen bir ulus devlet aktörü tarafından geliştirilmiş bir macOS implantı.
Farklı antivirüs ve güvenlik firmaları, kötü amaçlı yazılım örneklerinin her birini keşfetti. Intezer, örneğin, Ocak 2020’de geniş kapsamlı bir kripto para birimi operasyonunu araştırırken ElectroRAT’ı ortaya çıkardı. O sırada şirket, ElectroRAT’ı sıfırdan geliştirilen ve Windows, Linux ve macOS ortamları.
kırmızı kanarya Silver Sparrow’u geçen Şubat ayında Apple’ın o zamanlar yeni olan M1 yongalarında çalışmak üzere özel olarak derlenmiş bir ikili dosya olarak bildirdi. Güvenlik sağlayıcısı, 29.139 Mac uç noktasının kötü amaçlı yazılım yükleyiciden etkilendiğini, ancak bunun hiçbir yük taşımadığını söyledi. Ortaya çıkan Check Point araştırmacıları XLoader
MacOS için yeniden yazılmış, Formbook adlı iyi bilinen bir bilgi hırsızının bir versiyonu olduğunu keşfetti.
Google’ın tehdit analizi grubunun üyeleri keşfedildi MacMa
(OSX.CDDS) bir medya kuruluşunun ve demokrasi yanlısı bir grubun Hong Kong web sitelerini ziyaret edenleri hedef alan karmaşık su birikintisi saldırılarını araştırırken. Araştırmacılar, saldırganların sıfır gün ayrıcalık yükseltme güvenlik açığından yararlandığını keşfetti (CVE-2021-30869) MacMa arka kapısını kapatmak için macOS Catalina’da. Yük kodunun kalitesine bağlı olarak Google, kötü amaçlı yazılımı iyi kaynaklara sahip ve muhtemelen devlet destekli bir tehdit aktörünün işi olarak değerlendirdi.
Wardle’ın derlemesinde listelenen diğer kötü amaçlı yazılım örnekleri, EggShell adlı bir arka kapıyla Xcode geliştiricilerini hedef alan XcodeSpy; Apple’ın yanlışlıkla dijital olarak imzaladığı bir kripto para madenciliği aracı olan ElectrumStealer; VahşiBasınç, Kaspersky’nin Orta Doğu’daki endüstriyel şirketleri hedef aldığını bulduğu platformlar arası bir Python arka kapısı; ve ZuRu, Baidu’daki sponsorlu arama sonuçları aracılığıyla yayılan ve güvenliği ihlal edilmiş sistemlere Cobalt Strike aracısını yükleyen, veri çalan bir kötü amaçlı yazılım aracı.
LogicHub’ın CMO’su Willy Leichter, geçen yılın en büyük Mac kötü amaçlı yazılım tehditlerinin birkaç kategoriye girdiğini söylüyor: ElectroRAT ve OSAMiner gibi kripto madencileri; Silver Sparrow gibi reklam yazılımı yükleyicileri; Xloader ve Macma gibi bilgi hırsızları; ve WildPressure gibi platformlar arası Truva atları.
Kalıcı Yanlış Algı
Leichter, “Hala çok sayıda saldırı nedeniyle Mac’lerin doğal olarak Windows sistemlerinden daha güvenli olduğuna dair kalıcı bir yanlış algılama var” diyor. Bu duygu, büyük ölçüde, Windows’un hâlâ hakim olduğu mevcut pazar payının bir yansımasıdır. “Mac’lerin bazı güvenlik avantajları var, ancak iki eğilim nedeniyle bunlar daha az önemli hale geliyor: kötü amaçlı yazılım, temel işletim sistemini değil, giderek daha fazla tarayıcı eklentilerini hedefliyor” diye ekliyor. Buna ek olarak, kötü amaçlı yazılım geliştiricilerin işletim sisteminden bağımsız olarak giderek daha fazla platformlar arası uygulamalar oluşturduğunu söylüyor.
Jamf’in MacOS Algılama Yöneticisi Jaron Bradley, 2021’de Mac tehdit ortamındaki en dikkate değer gelişmelerden birinin, tehdit aktörlerinin Mac’lere saldırmak için harcadıkları önemli miktarda çaba olduğunu söylüyor. Buna, yeni sıfırıncı gün güvenlik açıklarını bulmak ve bunları Mac’e özgü kötü amaçlı yazılımları dağıtmak için kullanmak da dahildir, diyor. Örnek olarak, Bradley bir sıfır gün baypasına işaret eder (CVE-2021-30713) Apple’ın, saldırganların kötü amaçlı yazılım sağlamak için yararlandığı Şeffaflık İzni ve Denetimi (TCC) çerçevesinde XCSSET.
Bradley, “Sıfır gün atlamalarını uygulayan kötü amaçlı yazılımlar, saldırganların macOS hakkında daha yetenekli ve bilgili hale geldiğini gösteriyor” diyor. “Yalnızca bu değil, aynı zamanda bu istismarları araçlarına dahil etmek için gerçekten zaman ayırmada değer bulduklarını da gösteriyor.”
Bradley, en azından şimdilik, reklam yazılımı tehditlerinin macOS’ta en bol bulunan kötü amaçlı yazılım olmaya devam ettiğini söylüyor. Örnek olarak ZuRu ve OSX.CDDS’ye işaret ederek, “Ancak, 2021 boyunca, Mac’lerin arka kapılar aracılığıyla uzaktan kontrolünün kurulmasına ayrı bir odaklanmayla daha karmaşık tehditlerin ortaya çıktığını da gördük.”
Trend, kuruluşların macOS ortamına daha fazla dikkat etmesini gerektiriyor, diye ekliyor. Bradley, “Birçok güvenlik kuruluşu geçmişte macOS ve iOS’u mevcut kontrollerle ‘yeterince güvenli’ olarak görmüş olsa da, saldırganlar artık bu cihazları kazançlı hedefler olarak buluyor” diyor. “Güvenlik ekiplerinin kötü niyetli davranışları ve saldırıları tespit edebilmeleri için bu platformlarla ilgili teknik anlayışlarını diğer platformlarla eşit hale getirmeye başlaması gerekiyor.”