Guguklu Hırsızı
Siber güvenlik araştırmacıları, güvenliği ihlal edilmiş ana bilgisayarlara kalıcı erişim sağlamak ve casus yazılım olarak çalışmak üzere tasarlanmış, Apple macOS sistemlerini hedef alan yeni bir tehdidi ortaya çıkardı. Cuckoo adlı bu kötü amaçlı yazılım, hem Intel hem de Arm tabanlı Mac'lerde çalışabilen evrensel bir Mach-O ikili programıdır.
Özel dağıtım yöntemi belirsizliğini koruyor. Bununla birlikte, ikili dosyanın, akış hizmetlerinden müzik kopyalamak ve dönüştürmek için ücretsiz ve ücretli uygulamalar sağladığı iddia edilen birden fazla web sitesinde (dumpmedia.com, tunesolo.com, fonedog.com, tunesfun.com ve tunefab.com) barındırıldığına dair işaretler vardır. MP3 formatına dönüştürün.
İçindekiler
Cuckoo Stealer, Etkilenen Mac'te Kalıcılık Sağlıyor
Bu web sitelerinden elde edilen disk imaj dosyası, ana bilgisayar ayrıntılarını toplamak için bir bash kabuğu başlatır. Güvenliği ihlal edilen makinenin Ermenistan, Belarus, Kazakistan, Rusya veya Ukrayna'da bulunmamasını sağlar. Sahte ikili dosya yalnızca yerel ayar denetimi başarılı olursa çalışır.
Ayrıca, daha önce RustBucket , XLoader , JaskaGO gibi çeşitli kötü amaçlı yazılım aileleri tarafından kullanılan bir yöntem olan LaunchAgent'ı ve ZuRu ile benzerlikleri paylaşan bir macOS arka kapısını kullanarak kalıcılık sağlıyor.
MacStealer macOS kötü amaçlı yazılımına benzer şekilde Cuckoo, sahte bir parola istemi sunmak için osascript'i kullanıyor ve kullanıcıları ayrıcalık yükseltme amacıyla sistem parolalarını girmeye aldatıyor. Bu kötü amaçlı yazılım aynı zamanda kapsamlı sistem bilgileri toplamak amacıyla belirli uygulamalara bağlı belirli dosyaları da tarar.
Guguk Kuşu Hırsızı, İhlal Edilen Cihazlardan Gelen Hassas Bilgileri Ele Geçiriyor
Cuckoo Kötü Amaçlı Yazılımı, donanım ayrıntılarını ayıklamayı, etkin işlemleri yakalamayı, yüklü uygulamaları sorgulamayı, ekran görüntüleri almayı ve iCloud Anahtar Zinciri, Apple Notes, Web tarayıcıları, kripto cüzdanları ve belirli uygulamalar dahil olmak üzere çeşitli kaynaklardan veri toplamayı amaçlayan bir dizi komutu yürütmek üzere tasarlanmıştır. Discord, FileZilla, Steam ve Telegram gibi uygulamalar.
Her tehdit edici uygulama, kaynak dizininde yerleşik bir uygulama paketi içerir. Fonedog.com'dan gelenler hariç bu paketlerin çoğu imzalıdır ve Yian Technology Shenzhen Co., Ltd'ye (VRBJ4VRP) atfedilen geçerli bir Geliştirici Kimliği taşır. Fonedog.com'un diğer tekliflerin yanı sıra bir Android kurtarma aracına da ev sahipliği yaptığı ve ek uygulama paketinde FoneDog Technology Limited'in (CUAU2GTG98) geliştirici kimliğinin yer aldığı dikkat çekiyor.
Mac Cihazları Kötü Amaçlı Yazılım Saldırılarının Sık Sık Hedefi Haline Geldi
Siber suçlular, Mac cihazlarını hedef alan kötü amaçlı yazılım araçları kullanıyor; öne çıkan örneklerden biri de AdLoad kötü amaçlı yazılım ailesidir. Son zamanlarda bilgi güvenliği araştırmacıları, bu kötü şöhretli kötü amaçlı yazılımın Go programlama dilinde yazılmış Rload (Lador olarak da bilinir) adı verilen yeni bir türü hakkında alarma geçti. Rload , Apple'ın XProtect kötü amaçlı yazılım imza listesini atlayacak şekilde tasarlanmıştır ve özellikle Intel x86_64 mimarisi için derlenmiştir.
Bu ikili dosyalar, sonraki yük aşamaları için ilk damlatıcı görevi görür. Şu anda kesin dağıtım yöntemleri belirsizliğini koruyor. Ancak bu indiriciler genellikle kötü amaçlı web siteleri aracılığıyla dağıtılan, kırılmış veya truva atı haline getirilmiş uygulamalara gömülü olarak bulunur.
En az 2017'den beri macOS'u etkileyen bir reklam yazılımı kampanyası olan AdLoad, arama motoru sonuçlarını ele geçirmesi ve Web sayfalarına reklam yerleştirmesiyle ünlüdür. Bu, finansal kazanç için kullanıcı web trafiğini saldırganın altyapısı üzerinden yönlendiren ortadaki adam proxy kurulumu aracılığıyla gerçekleştirilir.
