XCSSET macOS Kötü Amaçlı Yazılımı
Siber güvenlik araştırmacıları, Apple macOS'u hedef alan XCSSET kötü amaçlı yazılımının yeni ve daha gelişmiş bir versiyonunu tespit etti. Şu anda sınırlı sayıda saldırıda gözlemlense de, bu güncellenmiş sürüm gizlilik, kalıcılık ve veri sızdırma konusunda önemli iyileştirmeler sunuyor.
İçindekiler
Bu Varyantı Farklı Kılan Nedir?
En son XCSSET sürümü birkaç önemli değişiklik getiriyor:
Tarayıcı ve Panoya Yönelik Hedefleme : Artık kripto para cüzdan adresleri için panodaki içerik izleniyor ve bunları saldırganların kontrol ettiği adreslerle değiştirerek işlemleri ele geçiriyor.
Genişletilmiş Veri Hırsızlığı : Safari'nin ötesinde, kötü amaçlı yazılım artık Mozilla Firefox'tan da veri sızdırabiliyor.
Gizlilik ve Kalıcılık : Yalnızca çalıştırılabilir derlenmiş AppleScript'ler ve LaunchDaemon girdileri kullanıldığında, enfekte olmuş sistemlerde kalıcılığı tespit etmek ve sürdürmek zor olmaya devam ediyor.
Geliştirilmiş Enfeksiyon Zinciri : Saldırının dördüncü aşamasındaki değişiklikler, boot() fonksiyonu aracılığıyla sistem bilgisi toplama ve modül yürütmesinden sorumlu son aşama AppleScript'in getirilmesini içeriyor.
XCSSET macOS’u Nasıl Etkiler?
XCSSET, öncelikle yazılım geliştiricileri tarafından kullanılan Xcode projelerini hedef alır. Bu projeler oluşturulduğunda, kötü amaçlı yazılım, kötü amaçlı modüllerini etkinleştirir ve çalıştırır. Kesin dağıtım yöntemi belirsiz olsa da, paylaşılan veya klonlanmış Xcode projelerinin önemli bir tehdit oluşturduğundan şüpheleniliyor.
Bu yılın başlarında araştırmacılar, daha iyi hata yönetimi ve hassas verileri tehlikeye atılmış sistemlerden çekmek için tasarlanmış üç kalıcılık tekniğinin uygulanması gibi geliştirmeler kaydetti.
Yeni ve Güncellenmiş Modüller
Son sürümde, her biri belirli kötü amaçlı işlevleri gerçekleştiren birkaç yeni veya değiştirilmiş modül yer alıyor:
vexyeqj (eski adıyla seizecj)
- Osascript kullanarak bnk adlı modülü indirir.
- Veri doğrulama, şifreleme/şifre çözme, C2 iletişimi ve kayıt işlemlerini gerçekleştirir.
- Panoya erişme yeteneğini içerir.
neq_cdyd_ilvcmwx
- Dosyaları eski txzx_vostfdi modülüne benzer şekilde C2 sunucusuna aktarır.
xmyyeqjx
- LaunchDaemon tabanlı kalıcılığı kurar.
jey
- Git tabanlı kalıcılığı uygular.
iewmilh_cdyd
- Değiştirilmiş bir HackBrowserData aracı kullanarak Firefox tarayıcı verilerini çalar.
Ek güncellemeler arasında Telegram mesajlaşma uygulamasına yönelik kontroller ve çeşitli modüllerdeki mantık değişiklikleri yer alıyor.
Azaltma ve Güvenlik Önlemleri
XCSSET'in oluşturduğu riski azaltmak için macOS kullanıcıları şunları yapmalıdır:
- Sistemlerini ve yazılımlarını tam olarak güncel tutun.
- Depo veya harici kaynaklardan elde edilen Xcode projelerini dikkatlice inceleyin.
- Özellikle kripto para cüzdan adresleri gibi hassas bilgileri kopyalarken veya yapıştırırken dikkatli olun.
Bu yapılandırılmış format, tüm temel bilgileri koruyarak kötü amaçlı yazılımın evrimini, teknik ayrıntılarını ve pratik azaltma önerilerini vurgular.
