Siber Güvenlik

Kuzey Koreli Hırsızlar: Kripto Hırsızlığı İçin Yeni macOS Malware Kullanıyorlar!

teknomers
teknomers

Giriş

Kuzey Koreli siber saldırganlar, kripto para sektöründeki hedeflerine yönelik, yapay zeka destekli video ve ClickFix tekniği kullanarak özelleştirilmiş kampanyalar yürütmektedir. Bu saldırıların finansal bir motivasyonu olduğu, Google’un Mandiant araştırmacıları tarafından incelenen bir fintech şirketine yönelik gerçekleştirilen saldırılarda görülmektedir.

Contents

Saldırı Nasıl Çalışıyor?

Saldırının temelini sosyal mühendislik oluşturmakta ve kurban, bir kripto para şirketinin yüksek düzeydeki bir yöneticisinin ele geçirilmiş Telegram hesabından iletişim kurularak hedef alınmaktadır. Kurbanla ilişki kurulduktan sonra, saldırganlar bir Calendly bağlantısı paylaşarak onu sahte bir Zoom toplantı sayfasına yönlendirmektedirler.

Saldırganlar, kurbana başka bir kripto para şirketinin CEO’sunun derin sahte bir videosunu göstermiştir. Mandiant araştırmacıları, “Toplantıdayken, sahte video görüşmesi, son kullanıcının ses sorunları yaşadığı izlenimini vermek için bir aldatmaca sağladı.” ifadelerini kullanmıştır. Bu bahane altında, saldırgan kurbana, bir web sayfasında bulunan komutlarla sorunları gidermesini istemektedir. İlgili sayfada hem Windows hem de macOS için enfeksiyon zincirini başlatacak komutlar bulunmuştur.

Huntress araştırmacıları, benzer bir saldırı yöntemini 2025 ortalarında tespit etmiş ve bunu BlueNoroff grubuna atfetmiştir. BlueNoroff, başka bir Kuzey Koreli tehdit grubu olup, farklı payload’lar kullanarak macOS sistemlerini hedef almıştır.

Etkilenen Sistemler

Mandiant araştırmaları, enfeksiyon zinciri başladıktan sonra AppleScript’in çalıştırıldığına dair kanıtlar bulmuş, ancak payload’un içeriğini geri alamamıştır. Bunu takiben, bir kötü amaçlı Mach-O ikili dosyasının dağıtımı gerçekleştirilmiştir. Daha sonra saldırgan, aşağıdaki yedi farklı kötü amaçlı yazılım ailesini uygulamıştır:

  1. WAVESHAPER – Arka planda çalışan C++ tabanlı bir arka kapı; sistem bilgilerini toplar, C2 ile HTTP/HTTPS üzerinden iletişim kurar ve takip eden payload’ları indirip çalıştırır.
  2. HYPERCALL – RC4 ile şifrelenmiş yapılandırma dosyasını okuyan Golang tabanlı indirici; C2 ile TCP 443 üzerinden WebSocket bağlantısı kurar, kötü amaçlı dinamik kütüphaneleri indirir ve bellek içinde doğrudan yükler.
  3. HIDDENCALL – HYPERCALL tarafından yansıtılan Golang tabanlı bir arka kapı; klavye ile etkileşim, komut yürütme ve dosya işlemlerini destekler, ek kötü amaçlı yazılımları dağıtır.
  4. SILENCELIFT – C/C++ tabanlı minimal bir arka kapı; ev sahibi bilgilerini C2 sunucusuna iletir ve root ayrıcalıklarıyla çalıştırıldığında Telegram iletişimini kesebilir.
  5. DEEPBREATH – HIDDENCALL aracılığıyla dağıtılan Swift tabanlı bir veri madencisi; macOS TCC korumalarını atlatmak için TCC veritabanını değiştirir, geniş dosya sistemi erişimi sağlar ve anahtar zinciri, tarayıcı verileri, Telegram verileri ile Apple Notları verilerini çalar.
  6. SUGARLOADER – RC4 ile şifrelenmiş yapılandırmayı kullanarak sonraki aşama payload’larını indiren ve manuel olarak oluşturulmuş bir başlatma daemon’u ile kalıcı hale getirilen C++ tabanlı bir indirici.
  7. CHROMEPUSH – SUGARLOADER tarafından dağıtılan C++ tabanlı bir tarayıcı veri madencisi; Google Docs Offline uzantısı olarak gizlenmiş bir Chromium yerel mesajlaşma anahtarı olarak kurulur ve tuş vuruşlarını, kimlik bilgilerini, çerezleri ve isteğe bağlı olarak ekran görüntülerini toplar.

Mandiant’a göre, tespit edilen kötü amaçlı yazılımlar içinde en fazla tespit edilen SUGARLOADER, ardından WAVESHAPER gelmektedir. Diğerleri ise Platform’un kötü amaçlı yazılım veritabanında mevcut değildir. Mandiant, SILENCELIFT, DEEPBREATH ve CHROMEPUSH’un tehdit aktörünün yeni bir araç setini temsil ettiğini belirtmektedir.

Çözüm ve Korunma

Bu tür saldırılara karşı korunmak için şu adımlar atılmalıdır:

  • Tüm işletim sistemlerinizi ve yazılımlarınızı güncel tutun.
  • Uzaktan bağlantılara dikkat edin ve şüpheli bağlantılara tıklamaktan kaçının.
  • Kendinizi ve ekibinizi sosyal mühendislik saldırılarına karşı eğitin.
  • Güvenlik yazılımlarınızı güncelleyin ve düzenli taramalar yapın.
  • 2 Faktörlü Kimlik Doğrulamayı (2FA) aktif hale getirin.

Sonuç

Okuyuculara yaptığımız uyarılar ve önlemler doğrultusunda, sistemlerini güncellemeleri ve şüpheli bağlantılara karşı dikkatli olmaları önemle tavsiye edilmektedir. Ek olarak, mevcut güvenlik protokollerinizi gözden geçirip güçlendirerek, potansiyel siber tehditlere karşı daha hazırlıklı olmanız sağlanmalıdır.

Apple sorun için bir düzeltme üzerinde çalışıyor
Yeni ‘Stranger Things’ 5. sezon fragmanı yakında çıkabilir.
İsrail Bankası, İstikrarlı Kripto Varlıklarını Denetleme Görevi Arıyor, İşte Gelişmekte Olanlar
Robert Pattinson, ‘Smile’ Film Yapımcısı Parker Finn, 80’lerin Korku Filmi ‘Possession’ın Yeniden Yapımı İçin Ekibi (Özel)
Kino Lorber, Kuzey Amerika için Nadine Labaki Starrer ‘Costa Brava, Lübnan’ı Aldı (Özel)
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Fitbit’in Yapay Zeka Sağlık Koçu Artık iPhone’unuzda!
Sonraki Makale Buz Dansı İkilisi Olimpiyatlarda Yapay Zeka Müzikle Gösteri Yaptı

Sanal Medya

Son Eklenenler

Huawei-led ekip, 1.6 trilyon parametreli DeepSeek modelini tanıttı
Donanım
Blasphemous 2 İçin Ücretsiz Heyecan Verici Yeni Genişleme Geldi
Oyun
Büyüleyici Kardeş: Vampire Survivors’a Eklenen Yeni DLC ile Yenilikler Kapıda
Oyun
Laravel ile 3 Satır Kodla WhatsApp Mesajı Gönderin
Yazılım
AION 2’nin Çıkış Tarihi Yaz Oyun Festivali’nde Duyuruldu
Oyun
OpenAI Hassas Verileri Koruma İçin Lockdown Modunu Tanıttı
Genel