Miolab Hırsızı
Miolab, diğer adıyla Nova, özellikle macOS kullanıcılarını hedeflemek üzere tasarlanmış gelişmiş bir bilgi hırsızlığı yazılımıdır. Kötü amaçlı yazılım hizmeti (MaaS) modeli altında hacker forumları aracılığıyla dağıtılan bu yazılım, siber suçluların derin teknik uzmanlığa ihtiyaç duymadan güçlü bir araç setine erişmelerini sağlar. Bu kötü amaçlı yazılım, kripto para cüzdanı uzantılarından, web tarayıcılarından ve çeşitli yönetim uygulamalarından hassas verileri çıkarabilir ve ayrıca ele geçirilen sistemlerden doğrudan dosya toplayabilir. Hasarı en aza indirmek için tespit edildiğinde derhal kaldırılması çok önemlidir.
İçindekiler
Verimlilik için tasarlandı, kaçınma için üretildi.
Miolab sıradan bir veri hırsızı değil; merkezi bir kontrol paneli ve saldırı yönetim araçlarını entegre ederek tehdit seviyesini önemli ölçüde yükseltiyor. Bu altyapı, düşük becerili saldırganların bile karmaşık kampanyalar yürütmesine olanak tanıyor. Hafif ve optimize edilmiş mimarisi, yayılımı artırıyor, çeşitli macOS ortamlarında tutarlı performans sağlıyor ve geleneksel tespit mekanizmalarından kaçınmaya yardımcı oluyor.
Komuta ve Kontrol: Saldırı Yönetimi Basitleştirildi
Dahili kontrol paneli, saldırganlara ele geçirilen kurbanlara ilişkin coğrafi veriler ve ele geçirilen bilgiler de dahil olmak üzere yapılandırılmış bir genel bakış sunar. Ayrıca, çalınan Google kimlik doğrulama oturumlarını yeniden kullanma işlevi de içerir; bu da parola gerektirmeden veya iki faktörlü kimlik doğrulamayı doğrudan atlamadan yetkisiz hesap erişimine olanak tanır.
Ayrıca Miolab, kötü amaçlı dağıtım sayfalarının ve ClickFix tarzı saldırı yöntemlerinin kullanımını desteklemektedir. Operatörler, Telegram üzerinden gerçek zamanlı bildirimlerden faydalanabilir ve kampanyalarının çeşitli aşamalarını otomatikleştirerek operasyonel verimliliği ve ölçeği artırabilirler.
Tarayıcı ve Kripto Para Veri Çıkarma Yetenekleri
Miolab, tarayıcılarda depolanan verilere agresif bir şekilde saldırarak, daha fazla güvenlik açığı oluşturmak için kullanılabilecek kimlik bilgilerini ve oturumla ilgili bilgileri çıkarır. Hem yaygın hem de niş tarayıcıları kapsayan erişim alanı, etki alanını önemli ölçüde genişletmektedir.
- Toplanan hassas tarayıcı verileri arasında kaydedilmiş şifreler, çerezler, tarama geçmişi ve e-posta adresleri gibi otomatik doldurma bilgileri yer almaktadır.
- Google token'ları ve Safari çerezleri gibi kimlik doğrulama öğeleri de toplanmaktadır.
Desteklenen tarayıcılar arasında Chrome, Edge, Firefox, Arc, Brave, Librewolf, Opera, Opera GX, SeaMonkey, Tor Browser, Vivaldi, Waterfox, Yandex ve Coca Cola bulunmaktadır. - Miolab, tarayıcıların ötesinde, 200'den fazla cüzdan uzantısından .dat, .key ve .keys gibi dosyaları çıkararak kripto para varlıklarına yoğunlaşıyor. Ayrıca donanım cüzdanlarını yönetmek için kullanılan uygulamaları da hedef alarak kritik kurtarma verilerinin çalınmasına olanak sağlıyor.
- Hedeflenen kripto para araçları arasında Atomic Wallet, Binance, Bitcoin, DashCore, Dogecoin, Electrum, Exodus, Guarda, Litecoin, Monero, Tonkeeper ve Wasabi Wallet bulunmaktadır.
- Ledger Live, Ledger Wallet ve Trezor Suite gibi uygulamalar, özellikle 24 kelimelik kurtarma anahtar kelimesi çıkarma amacıyla geliştirilmiştir.
Tarayıcıların Ötesinde: Mesajlaşma ve Yerel Veri İstismarı
Bu kötü amaçlı yazılım, iletişim ve üretkenlik uygulamalarına da yayılıyor. Telegram ve Discord gibi platformlardaki aktif oturumları ele geçirerek saldırganlara kimlik bilgileri olmadan hesap erişimi sağlıyor. Ayrıca, kullanıcıların şifreler veya kripto para kurtarma ifadeleri gibi hassas bilgileri istemeden saklayabileceği yaygın bir yer olan Apple Notlar'ı da inceliyor.
Veri toplama işlemi tamamlandıktan sonra, Miolab çalınan bilgileri bir ZIP arşivine sıkıştırır ve HTTP üzerinden dışarı sızdırır. Faaliyetini gizlemek için, uygulamanın çalıştırılamayacağını belirten yanıltıcı bir macOS hata mesajı görüntüler.
Etki: Enfeksiyonun Gerçek Maliyeti
Miolab enfeksiyonu ciddi sonuçlara yol açabilir. Mağdurlar, çalınan kripto para birimleri, yetkisiz hesap erişimi, kimlik hırsızlığı, itibar kaybı ve ilk saldırıdan kaynaklanan daha fazla kötü amaçlı yazılım bulaşması olasılığı nedeniyle mali kayıplar yaşayabilirler.
Bulaşma Zinciri: Özünde Sosyal Mühendislik
Miolab, sistemlere sızmak için büyük ölçüde aldatmaya dayanır. Siber suçlular, onu meşru yazılımlara benzeyecek şekilde özenle hazırlanmış disk imajı (.DMG) dosyaları olarak paketlenmiş sahte macOS uygulamaları aracılığıyla dağıtır. Bu yükleyiciler, inandırıcılığı artırmak için genellikle ikna edici marka, simgeler ve kullanıcı arayüzleri içerir.
Çalıştırıldıktan sonra, kötü amaçlı yazılım çok aşamalı bir enfeksiyon sürecini başlatır. Kullanıcılara sağ tıklayıp 'Aç' seçeneğini seçerek güvenlik uyarılarını atlamalarını isteyen sahte bir kurulum arayüzü sunar. Ardından, eylemlerinin görünürlüğünü sınırlamak için Terminal uygulamasını sonlandırmaya çalışır. Sahte bir macOS parola istemi görüntülenerek kullanıcılar sistem kimlik bilgilerini vermeye kandırılır.
Miolab, parolayı doğruladıktan sonra donanım özellikleri ve yazılım yapılandırmaları da dahil olmak üzere sistem düzeyinde istihbarat toplar. Masaüstü, Belgeler ve İndirilenler gibi önemli dizinleri tarayarak belgeler, elektronik tablolar, PDF'ler ve parola ile ilgili veriler gibi dosyaları hedef alır. Bu süreçte kullanıcılar izin istekleriyle karşılaşabilirken, kötü amaçlı yazılım sessizce toplanan verileri bir araya getirir ve dışarı sızdırmak için hazırlar.
