Güvenlik araştırmacıları, macOS kullanıcılarına arka kapı dağıtmak için popüler yazılım ürünlerinin kırık kopyalarını kullanan yeni bir siber saldırı kampanyası konusunda alarma geçti.
Kampanyayı benzer bir taktiği uygulayan diğer birçok kampanyadan farklı kılan şey (bu ayın başlarında bildirilen bir kampanya gibi) Çin web sitelerini içeren — onun saf ölçeği ve yeni, çok aşamalı yük taşıma tekniğidir. Ayrıca tehdit aktörünün iş kullanıcılarının ilgisini çekebilecek başlıklara sahip kırık macOS uygulamalarını kullanması da dikkat çekicidir; bu nedenle kullanıcıların indirdiklerini kısıtlamayan kuruluşlar da risk altında olabilir.
İlk yapan Kaspersky oldu keşfet ve rapor et Ocak 2024’te Activator macOS arka kapısına yüklendi. SentinelOne tarafından yapılan kötü amaçlı etkinlik üzerine yapılan daha sonraki bir analiz, kötü amaçlı yazılımın “macOS uygulamalarının selleriyle dolup taşıyor,” güvenlik satıcısına göre.
SentinelOne’da tehdit araştırmacısı olan Phil Stokes, “Verilerimiz VirusTotal’da ortaya çıkan benzersiz örneklerin sayısına ve sıklığına dayanıyor” diyor. “Ocak ayında bu kötü amaçlı yazılımın ilk keşfedilmesinden bu yana, bunun diğer tüm macOS kötü amaçlı yazılımlarından daha fazla benzersiz örneğini gördük. [tracked] aynı zaman diliminde.”
Stokes, SentinelOne’un gözlemlediği Activator arka kapısı örneklerinin sayısının, büyük bağlı kuruluş ağları tarafından desteklenen macOS reklam yazılımı ve paket yazılımı yükleyicilerinin (Adload ve Pirrit’i düşünün) hacminden bile daha fazla olduğunu söylüyor. “Bunu virüslü cihazlarla ilişkilendirecek hiçbir verimiz olmasa da, VT’ye yapılan benzersiz yüklemelerin oranı ve yem olarak kullanılan farklı uygulamaların çeşitliliği, yaygın enfeksiyonların önemli olacağını gösteriyor.”
MacOS Botnet mi oluşturuyorsunuz?
Stokes, etkinliğin ölçeğine ilişkin olası bir açıklamanın, tehdit aktörünün bir macOS botnet oluşturmaya çalışması olduğunu ancak bunun şimdilik yalnızca bir hipotez olarak kaldığını söylüyor.
Activator kampanyasının arkasındaki tehdit aktörü, kötü amaçlı yazılımı dağıtmak için 70’e kadar benzersiz crackli macOS uygulamasını veya kopyalama koruması kaldırılmış “ücretsiz” uygulamaları kullanıyor. Crackli uygulamaların çoğu, işyeri ortamlarındaki bireylerin ilgisini çekebilecek iş odaklı başlıklara sahiptir. Bir örnekleme: Snag It, Nisus Writer Express ve mühendislik, mimari, otomotiv tasarımı ve diğer kullanım durumları için bir yüzey modelleme aracı olan Rhino-8.
Stokes, “MacOS.Bkdr.Activator tarafından yem olarak kullanılan, iş amaçlı kullanışlı birçok araç var” diyor. “Kullanıcıların indirebileceği yazılımları kısıtlamayan işverenler, bir kullanıcının arka kapı bulaşmış bir uygulamayı indirmesi durumunda risk altında olabilir.”
Kırık uygulamalar aracılığıyla kötü amaçlı yazılım dağıtmak isteyen tehdit aktörleri, genellikle kötü amaçlı kodu ve arka kapıları uygulamanın içine yerleştirir. Aktivatör durumunda, saldırgan arka kapıyı açmak için biraz farklı bir strateji kullanmıştır.
Farklı Teslimat Yöntemi
Stokes, birçok macOS kötü amaçlı yazılım tehdidinden farklı olarak Activator’ın aslında kırılan yazılımın kendisine bulaşmadığını söylüyor. Bunun yerine, kullanıcılar indirmek istedikleri crackli uygulamanın kullanılamaz bir sürümünü ve iki kötü amaçlı çalıştırılabilir dosya içeren bir “Activator” uygulamasını alıyor. Kullanıcılara her iki uygulamayı da Uygulamalar klasörüne kopyalamaları ve Aktivatör uygulamasını çalıştırmaları talimatı verilir.
Uygulama daha sonra kullanıcıdan yönetici şifresini ister ve bu şifreyi macOS’un Gatekeeper ayarlarını devre dışı bırakmak için kullanır, böylece Apple’ın resmi uygulama mağazası dışındaki uygulamalar artık cihazda çalışabilir. Kötü amaçlı yazılım daha sonra, diğer şeylerin yanı sıra sistemin bildirim ayarını kapatan ve cihaza bir Başlatma Aracısı yükleyen bir dizi kötü amaçlı eylem başlatır. Aktivatör arka kapısının kendisi, diğer kötü amaçlı yazılımlar için birinci aşama yükleyici ve indiricidir.
Stokes, çok aşamalı teslimat sürecinin “kullanıcıya kırılmış yazılımı sağladığını, ancak kurulum işlemi sırasında kurbanın arka kapısını açtığını” söylüyor. “Bu, kullanıcı daha sonra kırılan yazılımı kaldırmaya karar verse bile bu işlemin enfeksiyonu ortadan kaldırmayacağı anlamına geliyor.”
Kaspersky’deki kötü amaçlı yazılım analisti Sergey Puzan, Activator kampanyasının dikkate değer başka bir yönüne dikkat çekiyor. Puzan, “Bu kampanya, diskte hiç görünmeyen ve doğrudan yükleyici komut dosyasından başlatılan bir Python arka kapısı kullanıyor” diyor. “Python komut dosyalarını pyinstaller gibi herhangi bir ‘derleyici’ olmadan kullanmak, saldırganların bazı saldırı aşamalarında bir Python yorumlayıcısı taşımasını veya kurbanın uyumlu bir Python sürümünün kurulu olduğundan emin olmasını gerektirdiğinden biraz daha zordur.”
Puzan ayrıca bu kampanyanın arkasındaki tehdit aktörünün potansiyel hedeflerinden birinin bir macOS botnet oluşturmak olduğuna inanıyor. Ancak Kaspersky’nin Aktivatör kampanyasına ilişkin raporundan bu yana şirketin herhangi bir ek faaliyet gözlemlemediğini de sözlerine ekledi.