Atomic Malware’nın Yenilikleri
Son zamanlarda, Atomic macOS bilgi hırsızı olarak bilinen AMOS adlı zararlı yazılımın yeni bir versiyonu keşfedildi. Bu zararlı yazılım, saldırganların ele geçirilen sistemlere sürekli erişim sağlamasına olanak tanıyan bir arka kapı içeriyor. Yeni bileşen, uzaktaki komutları çalıştırabilme yeteneği sunmakta, yeniden başlatmalara dayanıklılık göstermekte ve enfekte olmuş cihazlar üzerinde kontrolü süresiz olarak sürdürebilmektedir.
Moonlock, MacPaw’ın siber güvenlik bölümü, bu arka kapıyı Atomic malware üzerinde analiz etti. Bu inceleme, bağımsız araştırmacı g0njxa‘dan gelen bir ipucu ile gerçekleştirilmiştir. Araştırmacılar, “AMOS zararlı yazılım kampanyaları şu anda 120’den fazla ülkeye ulaşmış durumda; en çok etkilenen ülkeler arasında Amerika Birleşik Devletleri, Fransa, İtalya, Birleşik Krallık ve Kanada yer alıyor” demektedir.
Atomic Stealer’ın Gelişimi
Atomic Stealer, ilk olarak Nisan 2023’te belgelenmiştir. Bu zararlı yazılım, Telegram kanallarında aylık 1000 dolarlık bir abonelik ile satılan bir malware-as-a-service (MaaS) operasyonudur. macOS dosyalarını, kripto para uzantılarını ve web tarayıcılarında saklanan kullanıcı şifrelerini hedef almaktadır.
Kasım 2023’te, Atomic ilk kez macOS üzerinde ClearFake kampanyalarının genişlemesine destek vermiştir. Eylül 2024’te ise, siber suç grubu Marko Polo tarafından Apple bilgisayarlarda büyük ölçekli bir kampanyada kullanıldığı tespit edilmiştir. Moonlock, Atomic’ın son zamanlarda geniş dağıtım kanallarından, kripto para sahiplerine yönelik hedefli oltalama ve serbest çalışanlara iş görüşmesi davetleri gibi daha özelleşmiş yöntemlere geçtiğini bildirmektedir.
Analiz edilen zararlı yazılım versiyonu, bir arka kapı içeriyor ve LaunchDaemon‘ları kullanarak macOS’ta yeniden başlatmalara dayanıklılık gösteriyor. Ayrıca, kurban takibi için kimlik tabanlı bir sistem ve yeni bir komut ve kontrol altyapısı barındırıyor.
Mac’inize Bir Arka Kapı
Zararlı yazılımın temel arka kapı yürütülebilir dosyası, ‘.helper’ adında bir ikiledir. Bu dosya, enfekte olduktan sonra kurbanın ana dizinine gizli bir dosya olarak indirilip kaydedilmektedir. Araştırmacılar, ‘.agent’ adında bir kalıcı sarmalayıcı skriptin (gizli) ‘.helper’ dosyasını, oturum açmış kullanıcı olarak döngü içerisinde çalıştırdığını belirtmektedir. Mac’in sistem başlangıcında ‘.agent’ dosyasının çalışmasını sağlamak için LaunchDaemon (com.finder.helper) AppleScript aracılığıyla yüklenmektedir.
Bu işlem, başlangıçta sahte bir mazeret altında çalınan kullanıcı parolasını kullanarak yükseltilmiş yetkilerle gerçekleştirilir. Zararlı yazılım, komutları çalıştırabilmekte ve LaunchDaemon PLIST‘inin sahipliğini ‘root:wheel’ (macOS seviyesinde süper kullanıcı) olacak şekilde değiştirebilmektedir.
Arka Kapının Özellikleri
Arka kapı, tehdit aktörlerinin uzaktan komut çalıştırmalarına, tuş vuruşlarını kaydetmelerine, ilave yükler eklemelerine veya yan hareket potansiyelini keşfetmelerine olanak tanımaktadır. Tespit edilmekten kaçınmak için, arka kapı system_profiler kullanarak sandık veya sanal makine ortamlarını kontrol etmekte ve aynı zamanda string obfuscation (dizi bulanıklığı) gibi teknikler kullanmaktadır.
Atomic zararlı yazılımının evrimi, macOS kullanıcılarının daha çekici hedefler haline geldiğini ve bu kullanıcılara yönelik zararlı kampanyaların giderek daha sofistike hale geldiğini göstermektedir. Bu durum, her geçen gün artan sayıda kullanıcı için tehdit oluşturmakta, bilgisayar güvenliğinin sağlam bir şekilde korunmasına olan ihtiyacı artırmaktadır.
Zararlı yazılım iş modellerinin evrimini ve etkilerini anlamak, kullanıcıların ve organizasyonların güvenlik önlemlerini artırmalarını sağlayacaktır. Kullanıcıların, tüm sistem güvenliklerini sağlam tutmaları, şifrelerini düzenli olarak değiştirmeleri ve yalnızca güvenilir kaynaklardan yazılım indirmeleri kritik bir öneme sahiptir.
