MacSync: Yeni Bir macOS Bilgi Hırsızı
Giriş
Son dönemde siber güvenlik araştırmacıları, macOS işletim sistemi üzerinde çalışan yeni bir bilgi hırsızı türü olan MacSync‘i keşfetti. Bu zararlı yazılım, Apple’ın Gatekeeper korumalarını geçmek için dijital olarak imzalanmış ve noterlama işlemi yapılmış bir Swift uygulaması olarak dağıtılıyor.
MacSync’in Dağıtım Yöntemi
MacSync, daha önceki versiyonları gibi kullanıcıları yanıltmak için basit teknikler kullanmıyor. Yeni model, bir mesajlaşma uygulaması yükleyicisi olarak görünmekte ve bu sayede kullanıcıların dikkatini daha az çekiyor. Jamf araştırmacısı Thijs Xhaflaire, bu modelin önceki versiyonlardan daha yanıt vermeyen bir yöntem benimsediğini ifade ediyor.
Yeni sürüm, “zk-call-messenger-installer-3.9.2-lts.dmg” adıyla adlandırılmış bir disk görüntüsü (DMG) dosyası içerisinde dağıtılmakta ve bu dosya “zkcall[.]net/download” üzerinde barındırılmakta. Dijital olarak imzalanmış ve noter onaylı bir uygulama olması, programın Apple’ın yerleşik güvenlik kontrolleri tarafından engellenmeden çalışabilmesine olanak tanıyor. Ancak, bu yükleyici bazen kullanıcıları sağ tıklayıp uygulamayı açmaları için yönlendiriyor. Bu, korumaları aşmak için kullanılan yaygın bir taktiktir.
Hedef Alma ve Eylemler
MacSync, yüklendikten sonra belirli kontroller gerçekleştirmekte. İnternet bağlantısını doğrulamak, çalıştırma aralığı gereksinimini uygulamak ve dosyayı çalıştırmadan önce karantina etiketlerini kaldırmak gibi işlemler yapar. Bunun yanı sıra, payload’ın indirilmesinde kullanılan curl komutundaki değişiklikler, saldırganların algıdan kaçmak için farklı taktikler ve dinamik olarak oluşturulmuş değişkenler kullandığını göstermektedir.
Evasion Mekanizmaları
Zararlı yazılım ayrıca, boyutu 25.5 MB olan büyük bir DMG dosyası kullanarak dikkatleri dağıtıyor. Bu dosya, alakasız PDF belgeleri ile şişirilmiş. Yükleme işlemi sırasında, elde edilen Base64 kodlu payload, MacSync’in bir yeniden markalaması olan Mac.c’ye işaret ediyor. Bu geliştirmenin arkasında, basit veri hırsızlığının ötesine geçen ve uzaktan kontrol yetenekleri sunan bir Go tabanlı ajanın yer aldığı belirtildi.
Diğer Zararlı Yazılımlarla İlişki
Zararlı yazılımın kod imzalı versiyonlarına benzer şekilde, Google Meet’i taklit eden başka DMG dosyaları da gözlemlendi. Bu sözde yükleyicilerin, diğer macOS hırsızlarıyla birlikte kullanıldığı biliniyor. Bu durum, macOS zararlılarının dağıtımında geniş bir eğilimin işareti olarak değerlendiriliyor; saldırganlar, yazılımlarını meşru uygulamalara benzer şekilde sunmak için imzalanmış ve noter onaylı executables kullanmaya eğilim gösteriyor.
Sonuç
MacSync’in ortaya çıkışı, kullanıcıların macOS cihazlarını korumak için daha dikkatli olmaları gerektiğini göstermektedir. Kullanıcılar, uygulama yüklemeleri sırasında daha dikkatli olmalı ve yalnızca güvenilir kaynaklardan uygulama indirmelidir. Apple, imzalı bir yazılımı kullanarak Gatekeeper ve XProtect korumalarını aşan bu tür tehditleri göz önünde bulundurarak yeni güvenlik önlemleri geliştirmeye devam etmelidir.
