Kaspersky araştırmacıları, alışılmadık türden bir macOS zararlı yazılım türünü ortaya çıkardı. Daha önce bilinmeyen korsan uygulamalar aracılığıyla gizlice dağıtılan bu kötü amaçlı yazılım ailesi, macOS kullanıcılarının dijital cüzdanlarında saklanan kripto paralarını çalmayı hedefliyor. Kaspersky tarafından daha önce keşfedilen proxy Truva atlarının aksine, bu yeni tehdit kullanıcıları tehlikeye atmaya odaklanıyor.
Yeni keşfedile Truva Atı iki yönden benzersiz özelliklere sahip. Birincisi, kötü amaçlı Python betiğini yürütmek için DNS kayıtlarını kullanıyor. İkincisi sadece kripto cüzdanlarını çalmakla kalmıyor, cüzdan uygulamasını kendi virüslü sürümüyle değiştiriyor. Bu, cüzdanlarda saklanan kripto para birimine erişmek için kullanılan gizli ifadenin de çalmasına yol açıyor.
Kötü amaçlı yazılım macOS’un 13.6 ve üzeri sürümlerini hedef alıyor ve hem Intel hem de Apple Silikon ile çalışan cihazlarda, özellikle daha yeni işletim sistemi sürümü kullanıcılarına odaklandığını gösteriyor. Ele geçirilmiş disk imajları, bir aktivatör ve aranan uygulamayı içeriyor. İlk bakışta zararsız gibi görünen aktivatör, kullanıcı şifresini girdikten sonra ele geçirilen uygulamayı etkinleştiriyor.
Saldırganlar, uygulamanın önceden ele geçirilmiş sürümlerini kullanarak, çalıştırılabilir dosyaları kullanıcı aktivatörü çalıştırana kadar işlevsiz hale getirecek şekilde değiştiriyor. Bu taktik, kullanıcının farkında olmadan güvenliği ihlal edilmiş uygulamayı etkinleştirmesini sağlıyor.
Yamadan sonra kötü amaçlı yazılım, kötü amaçlı etki alanı için DNS TXT kaydı alarak ve buradan Python betiğinin şifresini çözerek birincil yükünü çalıştırıyor. Ardından komut dosyası, yine bir Python komut dosyası olan bulaşma zincirinin bir sonraki aşamasını indirmeye çalışıyor.
Bir sonraki yükün amacı sunucudan alınan keyfi komutları çalıştırmak. Yapılan araştırma sırasında hiçbir komut alınmasa ve arka kapı düzenli olarak güncelleniyor olsa da, kötü amaçlı yazılım kampanyasının hala geliştirilmekte olduğu açıkça ortada. Kodların incelenmesi, ilgili komutların muhtemelen kodlanmış Python betikleri olduğunu gösteriyor.
Bahsedilen işlevlerin yanı sıra, komut dosyası, apple-analyzer[.]com alan adını içeren iki önemli özellik barındırıyor. Her iki işlev de kripto para cüzdanı uygulamalarının varlığını kontrol etmeyi ve bunları belirtilen alan adından indirilen sürümlerle değiştirmeyi amaçlıyor. Bu taktiğin hem Bitcoin hem de Exodus cüzdanlarını hedef aldığı ve bu uygulamaları kötü niyetli olanlarla değiştirdiği gözlemlendi.
Kaspersky Güvenlik Araştırmacısı Sergey Puzan, konu hakkında şunları söyledi:
“Korsan yazılımlarla bağlantılı macOS kötü amaçlı yazılımı, bu alandaki ciddi risklerin altını çiziyor. Siber suçlular, kullanıcıların bilgisayarlarına kolayca erişmek ve parola girmelerini sağlayarak yönetici ayrıcalıkları elde etmek için korsan uygulamaları kullanıyor. Saldırıyı hazırlayanlar, DNS sunucusu kaydına bir Python betiği gizlemek şeklinde alışılmadık bir yaratıcılık sergiliyor ve bu da kötü amaçlı yazılımın ağ trafiğindeki gizlilik düzeyini artırıyor. Kullanıcılar, özellikle kripto para cüzdanları konusunda ekstra dikkatli olmalı. Şüpheli sitelerden dosya indirmekten kaçının ve daha iyi koruma için güvenilir siber güvenlik çözümleri kullanın.”