Korsanlar ganimet peşinde: Yeni macOS art kapısı kripto para cüzdanlarını gaye alıyor

Kaspersky araştırmacıları, alışılmadık tipten bir macOS ziyanlı yazılım tipini ortaya çıkardı. Daha evvel bilinmeyen korsan uygulamalar aracılığıyla gizlice dağıtılan bu makûs emelli yazılım ailesi, macOS kullanıcılarının dijital cüzdanlarında saklanan kripto paralarını çalmayı hedefliyor. Kaspersky tarafından daha evvel keşfedilen proxy Truva atlarının tersine, bu yeni tehdit kullanıcıları tehlikeye atmaya odaklanıyor.

Yeni keşfedile Truva Atı iki istikametten eşsiz özelliklere sahip. Birincisi, makûs gayeli Python betiğini yürütmek için DNS kayıtlarını kullanıyor. İkincisi yalnızca kripto cüzdanlarını çalmakla kalmıyor, cüzdan uygulamasını kendi virüslü sürümüyle değiştiriyor. Bu, cüzdanlarda saklanan kripto para ünitesine erişmek için kullanılan zımnî sözün de çalmasına yol açıyor.

Kötü gayeli yazılım macOS’un 13.6 ve üzeri sürümlerini gaye alıyor ve hem Intel hem de Apple Silikon ile çalışan aygıtlarda, bilhassa daha yeni işletim sistemi sürümü kullanıcılarına odaklandığını gösteriyor. Ele geçirilmiş disk imajları, bir aktivatör ve aranan uygulamayı içeriyor. Birinci bakışta zararsız üzere görünen aktivatör, kullanıcı şifresini girdikten sonra ele geçirilen uygulamayı aktifleştiriyor.

Saldırganlar, uygulamanın evvelden ele geçirilmiş sürümlerini kullanarak, çalıştırılabilir evrakları kullanıcı aktivatörü çalıştırana kadar fonksiyonsuz hale getirecek halde değiştiriyor. Bu taktik, kullanıcının farkında olmadan güvenliği ihlal edilmiş uygulamayı etkinleştirmesini sağlıyor.

Yamadan sonra makus gayeli yazılım, berbat hedefli tesir alanı için DNS TXT kaydı alarak ve buradan Python betiğinin şifresini çözerek birincil yükünü çalıştırıyor. Akabinde komut evrakı, yeniden bir Python komut belgesi olan bulaşma zincirinin bir sonraki basamağını indirmeye çalışıyor.

Bir sonraki yükün gayesi sunucudan alınan keyfi komutları çalıştırmak. Yapılan araştırma sırasında hiçbir komut alınmasa ve art kapı tertipli olarak güncelleniyor olsa da, makûs gayeli yazılım kampanyasının hala geliştirilmekte olduğu açıkça ortada. Kodların incelenmesi, ilgili komutların muhtemelen kodlanmış Python betikleri olduğunu gösteriyor.

Bahsedilen fonksiyonların yanı sıra, komut evrakı, apple-analyzercom alan ismini içeren iki değerli özellik barındırıyor. Her iki fonksiyon de kripto para cüzdanı uygulamalarının varlığını denetim etmeyi ve bunları belirtilen alan isminden indirilen sürümlerle değiştirmeyi amaçlıyor. Bu taktiğin hem Bitcoin hem de Exodus cüzdanlarını amaç aldığı ve bu uygulamaları berbat niyetli olanlarla değiştirdiği gözlemlendi.

Kaspersky Güvenlik Araştırmacısı Sergey Puzan, şunları söyledi: “Korsan yazılımlarla temaslı macOS makus emelli yazılımı, bu alandaki önemli risklerin altını çiziyor. Siber hatalılar, kullanıcıların bilgisayarlarına basitçe erişmek ve parola girmelerini sağlayarak yönetici ayrıcalıkları elde etmek için korsan uygulamaları kullanıyor. Saldırıyı hazırlayanlar, DNS sunucusu kaydına bir Python betiği gizlemek formunda alışılmadık bir yaratıcılık sergiliyor ve bu da berbat emelli yazılımın ağ trafiğindeki kapalılık seviyesini artırıyor. Kullanıcılar, bilhassa kripto para cüzdanları konusunda ekstra dikkatli olmalı. Kuşkulu sitelerden belge indirmekten kaçının ve daha yeterli müdafaa için sağlam siber güvenlik tahlilleri kullanın.”

Securelist.com’da macOS için kripto Truva atı ve art kapı hakkında daha fazla bilgi edinebilirsiniz.

Kaspersky araştırmacıları, Truva atlarına karşı inançta kalmak ve kripto varlıklarınızı korumak için aşağıdaki tedbirleri almanızı tavsiye ediyor: