Siber güvenlik araştırmacıları, Apple macOS sistemlerini hedefleyen gelişmiş bir araç setinin parçası olduğunu söyledikleri bir dizi kötü amaçlı yapı ortaya çıkardı.
Bitdefender araştırmacıları Andrei Lapusneanu ve Bogdan Botezatu, “Şu an itibariyle, bu örnekler hala büyük ölçüde tespit edilemedi ve bunlardan herhangi biri hakkında çok az bilgi mevcut.” söz konusu Cuma günü yayınlanan bir ön raporda.
Rumen firmasının analizi, adı açıklanmayan bir kurban tarafından VirusTotal’a yüklenen dört örneğin incelenmesine dayanıyor. En eski örnek 18 Nisan 2023’e kadar uzanıyor.
Üç kötü amaçlı programdan ikisinin Windows, Linux ve macOS sistemlerini hedeflemek için tasarlanmış genel Python tabanlı arka kapılar olduğu söyleniyor. Yükler toplu olarak adlandırıldı jokercasus.
İlk bileşen, başlatıldığında bir işletim sistemi denetimi çalıştıran (Windows için 0, macOS için 1 ve Linux için 2) ve yürütme için ek yönergeler almak üzere uzak bir sunucuyla bağlantı kuran share.dat’tır.
Buna sistem bilgilerinin toplanması, komutların çalıştırılması, dosyaların kurban makineye indirilmesi ve çalıştırılması ve kendi kendini sonlandırması dahildir.
macOS çalıştıran cihazlarda, sunucudan alınan Base64 kodlu içerik, daha sonra paketinden çıkarılan ve “/Users/Shared/TempUser/AppleAccountAssistant.app” uygulaması olarak başlatılan “/Users/Shared/AppleAccount.tgz” adlı bir dosyaya yazılır.
Aynı yordam, Linux ana bilgisayarlarında, işletim sistemi dağıtımını “/etc/os-sürüm” dosyası. Ardından, Fedora’da cc komutu ve Debian’da gcc kullanılarak “/tmp/.ICE-unix/git” adlı bir dosyada derlenen “tmp.c” geçici dosyasına C kodu yazmaya devam eder.
Bitdefender ayrıca örnekler arasında “daha güçlü bir arka kapı” bulduğunu söyledi; bu dosya, sistem meta verilerini toplamak, dosyaları numaralandırmak, dosyaları silmek, komutları ve dosyaları yürütmek ve kodlanmış dosyaları sızdırmak için kapsamlı yeteneklerle birlikte gelen “sh.py” etiketli bir dosyadır. veriler toplu halde.
Üçüncü bileşen, Swift’te yazılmış ve macOS Monterey (sürüm 12) ve daha yenisini hedefleyen, xcc olarak bilinen bir FAT ikili dosyasıdır. Dosya, ikiz CPU mimarileri, x86 Intel ve ARM M1 için iki Mach-O dosyası barındırır.
Araştırmacılar, “Birincil amacı, görünüşe göre potansiyel bir casus yazılım bileşenini kullanmadan önce (muhtemelen ekranı yakalamak için) izinleri kontrol etmektir, ancak casus yazılım bileşeninin kendisini içermez” dedi.
🔐 API Güvenliğinde Uzmanlaşma: Gerçek Saldırı Yüzeyinizi Anlamak
API ekosisteminizdeki kullanılmayan güvenlik açıklarını keşfedin ve güçlü güvenlik için proaktif adımlar atın. Bilgilendirici web seminerimize katılın!
“Bu, bu dosyaların daha karmaşık bir saldırının parçası olduğuna ve araştırdığımız sistemde birkaç dosyanın eksik olduğuna inanmamıza neden oluyor.”
xcc’nin casus yazılım bağlantıları, “/Users/joker/Downloads/Spy/XProtectCheck/” dosya içeriğinde tanımlanan bir yoldan ve Disk Erişimi, Ekran Kaydı ve Erişilebilirlik gibi izinleri denetlemesinden kaynaklanır.
Etkinliğin arkasındaki tehdit aktörlerinin kimliği henüz bilinmiyor. Şu anda ilk erişimin nasıl elde edildiği ve bunun bir sosyal mühendislik veya hedefli kimlik avı unsuru içerip içermediği de net değil.
Açıklama, Rus siber güvenlik şirketi Kaspersky’nin iOS cihazlarının 2019’da başlayan Üçgenleme Operasyonu adlı sofistike ve uzun soluklu bir mobil kampanyanın parçası olarak hedef alındığını açıklamasından iki haftadan biraz daha uzun bir süre sonra geldi.