Siber güvenlik araştırmacıları, virüslü ana bilgisayarlarda kalıcılık oluşturmak ve casus yazılım görevi görmek üzere tasarlanmış, Apple macOS sistemlerini hedef alan yeni bir bilgi hırsızı keşfetti.
Dublajlı Guguk kuşu Kandji’ye göre kötü amaçlı yazılım, hem Intel hem de Arm tabanlı Mac’lerde çalışabilen evrensel bir Mach-O ikili programıdır.
İkili dosyanın dumpmedia gibi sitelerde barındırıldığına dair göstergeler olmasına rağmen, tam dağıtım vektörü şu anda belirsizdir.[.]com, tunesolo[.]com, fonedog[.]com, tunesfun[.]com ve tunefab[.]com, akış hizmetlerinden müzik kopyalamaya ve onu MP3 formatına dönüştürmeye adanmış uygulamaların ücretsiz ve ücretli sürümlerini sunduğunu iddia ediyor.
Web sitelerinden indirilen disk imaj dosyası, ana bilgisayar bilgilerini toplamak için bir bash kabuğu oluşturmaktan ve güvenliği ihlal edilen makinenin Ermenistan, Belarus, Kazakistan, Rusya ve Ukrayna’da bulunmamasını sağlamaktan sorumludur. Kötü amaçlı ikili dosya yalnızca yerel ayar denetimi başarılı olduğunda yürütülür.
Ayrıca, daha önce RustBucket, XLoader, JaskaGO gibi farklı kötü amaçlı yazılım aileleri tarafından benimsenen bir teknik olan LaunchAgent ve ZuRu ile örtüşmeleri paylaşan bir macOS arka kapısı aracılığıyla kalıcılık sağlıyor.
Cuckoo, MacStealer macOS hırsızlığı yapan kötü amaçlı yazılım gibi, ayrıcalığı artırmak için kullanıcıları sistem şifrelerini girmeleri konusunda kandırmak amacıyla sahte bir şifre istemi görüntülemek için osascript’ten yararlanıyor.
Araştırmacılar Adam Kohler ve Christopher Lopez, “Bu kötü amaçlı yazılım, sistemden mümkün olduğunca fazla bilgi toplamak amacıyla belirli uygulamalarla ilişkili belirli dosyaları sorguluyor.” söz konusu.
Donanım bilgilerini ayıklamak, o anda çalışan işlemleri yakalamak, yüklü uygulamaları sorgulamak, ekran görüntüleri almak ve iCloud Keychain, Apple Notes, web tarayıcıları, kripto cüzdanları ve Discord, FileZilla, Steam gibi uygulamalardan veri toplamak için bir dizi komutu çalıştıracak donanıma sahiptir. ve Telegram’da.
Araştırmacılar, “Her kötü amaçlı uygulama, kaynak dizini içinde başka bir uygulama paketi içerir” dedi. “Bu paketlerin tümü (fonedog’da barındırılanlar hariç)[.]com) imzalanmıştır ve Yian Technology Shenzhen Co., Ltd’nin (VRBJ4VRP) geçerli bir Geliştirici Kimliğine sahiptir.”
“Fonedog web sitesi[.]com, diğer şeylerin yanı sıra bir Android kurtarma aracına da ev sahipliği yaptı; buradaki ek uygulama paketi, FoneDog Technology Limited’in (CUAU2GTG98) geliştirici kimliğine sahiptir.”
Açıklama, Apple cihaz yönetim şirketinin aynı zamanda kod adı verilen başka bir hırsız kötü amaçlı yazılımını açığa çıkarmasından yaklaşık bir ay sonra geldi. Bulut Sohbeti gizlilik odaklı bir mesajlaşma uygulaması gibi görünen ve IP adresleri Çin’e coğrafi olarak belirlenmeyen macOS kullanıcılarının güvenliğini tehlikeye atabilecek kapasitede.
Kötü amaçlı yazılım, panoya kopyalanan kripto özel anahtarlarını ve Google Chrome’da yüklü cüzdan uzantılarıyla ilişkili verileri ele geçirerek çalışıyor.
Bu aynı zamanda, kötü şöhretli AdLoad kötü amaçlı yazılımının Go’da yazılmış, Rload (diğer adıyla Lador) adı verilen, Apple XProtect kötü amaçlı yazılım imza listesinden kaçacak şekilde tasarlanmış ve yalnızca Intel x86_64 mimarisi için derlenmiş yeni bir versiyonunun keşfinin ardından geldi.
SentinelOne güvenlik araştırmacısı Phil Stokes, “İkili dosyalar bir sonraki aşamadaki yük için ilk bırakıcılar olarak işlev görüyor” söz konusu Geçen hafta yayınlanan bir raporda belirli dağıtım yöntemlerinin eklenmesi şu anda belirsizliğini koruyor.
Bununla birlikte, bu indiricilerin genellikle kötü amaçlı web siteleri tarafından dağıtılan, kırılmış veya truva atı haline getirilmiş uygulamalara gömülü olduğu gözlemlenmiştir.
En az 2017’den bu yana macOS’u etkileyen yaygın bir reklam yazılımı kampanyası olan AdLoad, arama motoru sonuçlarını ele geçirmesi ve kullanıcının web trafiğini saldırganın web sitesi üzerinden yönlendirmek için ortadaki bir web proxy’si aracılığıyla parasal kazanç sağlamak amacıyla web sayfalarına reklam enjekte etmesiyle biliniyor. kendi altyapısı.
Güncelleme: Daha Fazla Guguk Kuşu Eseri Tespit Edildi
Siber güvenlik firması SentinelOne, yeni bir analizde, geçen ayın sonlarında ortaya çıkmasından bu yana C++ tabanlı kötü amaçlı yazılım dağıtan Cuckoo örneklerinde ve truva atı haline getirilmiş uygulamalarda bir artış gözlemlediğini söyledi.
Güvenlik araştırmacısı Phil Stokes, “Truva atı haline getirilmiş uygulamalar, PDF veya müzik dönüştürücüler, temizleyiciler ve kaldırıcılar gibi şüpheli hizmetler sunan çeşitli türden ‘potansiyel olarak istenmeyen programlardır’.” söz konusu. “XProtect’in en son sürümü olan sürüm 2194, Cuckoo Stealer kötü amaçlı yazılımının yürütülmesini engellemiyor.”
Kötü amaçlı yazılımın, bir iletişim kutusu aracılığıyla macOS kullanıcılarının yönetici şifrelerini düz metin olarak çalması, en az 2008’den bu yana moda olan bir hiledir. PokerStealer SentinelOne, vahşi doğada keşfedildiğini ekledi.