ZuRu Malware: MacOS Kullanıcılarını Hedef Alan Yeni Tehdit
Son zamanlarda, cybersecurity araştırmacıları, Apple‘ın macOS işletim sistemi üzerindeki yeni bir malware örneği olan ZuRu ile ilgili önemli bulgular ortaya koydular. ZuRu, meşru yazılımların trojanlaştırılmış versiyonları aracılığıyla yayılan bir zararlı yazılım türüdür. Özellikle, kötü niyetli aktörlerin, bilgisayar kullanıcılarını hedef alarak, bilinen ve güvenilir uygulamaları taklit eden yazılımların dağıtımını yaptıkları anlaşılmaktadır.
- ZuRu Malware: MacOS Kullanıcılarını Hedef Alan Yeni Tehdit
- Malware’ın Yükselişi ve İlk Belirtileri
- Dağıtım Yöntemleri: Fırsatçı Bir Yaklaşım
- Khepri: Update Mekanizması ve Yeni Performans Özellikleri
- Malware’ın Değişkenleri ve Yeni Taktikler
- Command and Control: İletişim Araçları ve Güvenlik Açıkları
- MacOS Kullanıcıları İçin Alınması Gereken Önlemler
Malware’ın Yükselişi ve İlk Belirtileri
ZuRu malware, ilk kez Eylül 2021‘de, Çin’in soru-cevap platformu Zhihu üzerinde bir kullanıcı tarafından belgelendi. Zamanla, zararlı yazılım, iTerm2 gibi meşru bir macOS Terminal uygulamasının aranmasına yönelik saldırılar düzenleyerek, kullanıcıları sahte web sitelerine yönlendirdi. Bu sahte siteler, kullanıcıların malware’i indirmeleri için tasarlandı. 2024 yılı Ocak ayında, Jamf Threat Labs, ücretsiz uygulamalar aracılığıyla dağıtılan başka bir malware örneğini keşfetti. Bu örnek, ZuRu ile belirli benzerlikler taşıyordu ve popüler yazılımlar arasında yer alan Microsoft Remote Desktop for Mac, SecureCRT ve Navicat gibi uygulamaların trojanlaştırıldığını göstermektedir.
Dağıtım Yöntemleri: Fırsatçı Bir Yaklaşım
ZuRu’nun dağıtım şekli, zararlı yazılımın arkasındaki tehdit aktörlerinin daha fırsatçı bir yaklaşım sergilediğini ortaya koyuyor. Sponsorluklu web aramaları üzerinden dağıtım yaparak, yalnızca uzaktan bağlantılar ve veritabanı yönetimi arayan kullanıcıları hedefliyorlar. Bu da, saldırganların, özellikle IT profesyonellerini ve geliştiricileri tehdit eden bir model ortaya koyuyor.
Khepri: Update Mekanizması ve Yeni Performans Özellikleri
Yeni keşfedilen ZuRu örnekleri, Khepri adı verilen bir açık kaynak post-exploitation aracını kullanıyor. Bu araç, saldırganların enfekte olmuş sistemlerde uzaktan kontrol sağlamasına yardımcı oluyor. SentinelOne araştırmacıları, malware’ın bir .dmg disk imajı üzerinden gönderildiğini ve gerçek Termius.app uygulamasının hacklenmiş bir versiyonunu içerdiğini belirtiyor.
Zararlı yazılımın taşıdığı dosyalar arasında, dış bir sunucudan gelen Khepri komut ve kontrol (C2) beacon’ını indirmek ve başlatmak amacıyla tasarlanmış bir yükleyici olan “.localized” ve gerçekteki Termius Helper uygulamasının yeniden adlandırılmış bir versiyonu olan “.Termius Helper1” bulunmaktadır.
Malware’ın Değişkenleri ve Yeni Taktikler
Önceki ZuRu varyantlarında, malware yazarları, ana paketin yürütülebilir dosyasını değiştirerek, dış bir .dylib dosyasını referans gösteren ek bir yükleme komutu eklemişlerdi. Ancak yeni sürümlerde, meşru uygulamanın içindeki yardımcı uygulamanın trojanlaştırılması, bu kötü niyetli aktörlerin önceki tekniklerinden farklı bir yöntem geliştirdiğini göstermektedir.
Bu yeni sürüm, malware’ın daha önce bulunduğu bir sistemde var olup olmadığını kontrol etmekte ve eğer dosya yerleşmişse, yeni güncellemelerin indirilmesini mümkün kılmaktadır. Bu mekanizma, sistemin bütünlüğünü sağlamak ve güncellemeleri zamanında almak için bir güncelleme yöntemini temsil ediyor.
Command and Control: İletişim Araçları ve Güvenlik Açıkları
Khepri aracı, dosya transferi, sistem keşifleri, işlem yürütme ve komutları yerine getirme gibi birçok özelliği barındıran bir C2 implantıdır. Bu implant, “ctl01.termius[.]fun” adı verilen bir sunucu ile iletişim kurarak, komutları ve kontrol çıkışlarını yönetmektedir. Bu tür bir iletişim mekanizması, saldırganların uzaktan sistemlere erişimini pekiştirerek, güvenlik açıklarını artırmaktadır.
Saldırganların, hedef uygulamalardaki belirli yöntem ve taktikleri kullanmaya devam etmeleri, güvenlik donanımları yetersiz olan ortamlarda bu tür saldırıların hala başarılı bir şekilde sürdüğünü göstermektedir.
MacOS Kullanıcıları İçin Alınması Gereken Önlemler
MacOS kullanıcıları, bu tür zararlı yazılımlara karşı dikkatli olmalı ve yalnızca güvenilir kaynaklardan indirme yapmalıdır. Özellikle, sahte yazılım uygulamalarından uzak durmak ve güvenlik yazılımları kullanmak büyük önem taşımaktadır. Böylelikle, kullanıcılar, macOS platformunda karşılaşabilecekleri olası tehditlere karşı kendilerini koruyabilirler.
