MacSync Malware Dropper: Gelişmiş Dağıtım Yöntemleri
Son dönemlerde dikkat çeken bir güvenlik tehdidi olan MacSync, macOS sistemlerini hedef alan bir bilgi hırsızıdır. Şu anki versiyonu, dijital olarak imzalanmış ve onaylanmış bir Swift uygulaması olarak dağıtılmaktadır. Jamf’taki güvenlik araştırmacıları, bu dağıtım yönteminin önceki sürümlerden önemli bir evrimleştirici olduğunu belirtmektedir.
Dağıtım Metodu
Yeni MacSync versiyonu, “zk-call-messenger-installer-3.9.2-lts.dmg” adlı bir disk imajı içinde dağıtılmakta ve zkcall.net üzerinden erişilebilmektedir. Bu uygulama, kullanıcıların terminal ile doğrudan etkileşimde bulunmalarını gerektirmeden otomatik bir yükleme süreci sunmaktadır.
Bu tür bir dağıtım yöntemi, arka planda “drag-to-Terminal” veya ClickFix düzeyinde basit taktiklerden oldukça farklıdır. Jamf tarafından yapılan analizde, MacSync’in geçerli bir imzaya sahip olduğu ve macOS’un güvenlik sistemi olan Gatekeeper kontrolünden kaçabildiği belirtilmektedir.
Analiz ve İmza Kontrolü
Jamf, Mach-O ikili dosyasını inceleyerek hem kod imzasının hem de onayının geçerli olduğunu tespit etmiştir. İmza, GNJLS3UYZ4 adlı geliştirici ekip kimlik numarası ile ilişkilendirilmiştir. Ancak, bu tür kötü niyetli yazılımların gelişimi ve varmama süreci, Apple’a sertifika ile ilgili doğrudan bir rapor verilmesi sonucunda engellenmiştir.
Kötü Amaçlı Yazılımın İşleyişi
Malware, sistem içine bir dropper aracılığıyla şifreli formda teslim edilir. Yükleme süreci tamamlandığında, araştırmacılar MacSync hırsızı ile ilgili yaygın işaretler bulmuşlardır. Şifre açıcı (deobfuscator) kullanarak yapılan analizlerde:
- DMG dosyası 25.5 MB’a kadar büyütülerek sahte PDF’ler ile içeriği saklanmış.
- İcra zincirinde kullanılan betikler temizlenmiş.
- Yürütme öncesinde internet bağlantısı kontrolleri yapılarak sandbox çevrelerinden kaçınılmış.
Bu tür önlemler, kötü amaçlı yazılımın algılanmaktan kaçınmasını sağlamak amacıyla geliştirilmiştir.
MacSync’in Gelişimi ve Tehdit Profili
MacSync’in ilk versiyonu, 2025 yılının Nisan ayında Mac.C adıyla ortaya çıkmıştır. “Mentalpositive” adlı bir tehdit aktörü tarafından geliştirilen bu yazılım, zamanla daha az yoğun ama buna karşın kârlı olan macOS hırsızları alanında AMOS ve Odyssey ile birlikte yerini almıştır. Önceki analizler, MacSync’in iCloud anahtarlık bilgilerini, web tarayıcılarında saklanan şifreleri, sistem meta verilerini, kripto para cüzdanı verilerini ve dosyaları çalabildiğini göstermektedir.
Kullanıcıları Korumak İçin Öneriler
MacSync gibi kötü amaçlı yazılımlara karşı korunmanın yollarından biri, yalnızca resmi ve güvenilir kaynaklardan uygulama indirmektir. Ayrıca, sisteminizi ve yazılımlarınızı güncel tutmak, güvenlik duvarlarını etkinleştirmek ve güncel antivirüs yazılımları kullanmak, kullanıcıların güvenliğini artırabilir.
Geliştiricinin yakın zamanda verdiği bir röportajda, macOS 10.14.5 ve sonrasında uygulama onaylama politikalarının sıkılaştırılmasının, kötü amaçlı yazılım yazarlarının gelişim planlarını en fazla etkileyen faktörler arasında olduğu vurgulanmıştır.
Gelecekte, benzer tehditlerle karşılaşmamamız için sürekli dikkatli olmak ve güncel bilgileri takip etmek, siber güvenliği büyük ölçüde artıracaktır.
