Ekosistemi Mac bilgisayarlar Şimdi ise bambaşka bir seviyede oynayan bir tehditle karşı karşıya: MacSync HırsızıBilgisayarlara sızarak bilgi çalma konusunda uzmanlaşmış bir kötü amaçlı yazılım. Apple'ın kendi güvenilir sistemlerinden yararlanmakGeçmişteki kalitesiz virüslerden çok farklı olarak, bu kötü amaçlı yazılım, analizlerin gösterdiği üzere, İspanya ve Avrupa'nın geri kalanında da geçerli bir geliştirici imzası ve noter onaylı doğrulama süreciyle meşru ve güvenilir bir uygulama olarak kendini gösteriyor. Mac ve Linux'a yönelik siber saldırılar.
En yeni varyantlarında, bu kötü amaçlı yazılım ailesi Swift dilinde yazılmış, Apple tarafından imzalanmış ve tasdik edilmiş bir uygulama olarak çalışır.Bu durum, Gatekeeper ve XProtect gibi mekanizmalar da dahil olmak üzere macOS'un ilk güvenlik önlemlerinin çoğunu atlamasına olanak tanır. Bu önemli sıçrama, erken tespiti zorlaştırır ve şu olasılıkları ortaya çıkarır... kişisel ve kurumsal verilerin sessiz sızıntıları hem ev ortamında hem de profesyonel ortamda.
MacSync Stealer nedir ve macOS'ta nasıl bir evrim geçirdi?
İlk ortaya çıkışlarında, Bu enfeksiyon, kullanıcının açıkça harekete geçmesini gerektiren tekniklere dayanıyordu.Kötü amaçlı komut dosyalarını çalıştırmak için ClickFix'e veya Terminal'deki klasik "kopyala ve yapıştır" komutlarına benzer yöntemler kullanıldı. Bu yaklaşım, daha fazla manuel etkileşim gerektiriyordu ve kullanıcıya bir şeylerin ters gittiğinden şüphelenip hasar daha da yaygınlaşmadan kurulumu durdurma fırsatı veriyordu.
Analizleri Jamf Tehdit LaboratuvarlarıÖnde gelen Apple cihaz güvenliği laboratuvarı, en son sürümde oldukça farklı bir durumu açıklıyor. Raporlarına göre, MacSync Stealer adlı yazılım, bir güvenlik açığı oluşturdu. çok daha otomatik ve sessiz bir enfeksiyon modeline doğru bir sıçramaMağdura görünen işaretleri en aza indirgeyerek ve Apple'ın imzası ve noter onayının yarattığı güvene dayanarak hareket ediyorlar.
Buradaki püf nokta, saldırının ilk aşamasının şu şekilde sunulmasıdır: Swift dilinde geliştirilmiş, geçerli geliştirici kimliğine, geçerli kod imzasına sahip ve noter tasdikinden geçmiş bir uygulama.İşletim sistemi ve çoğu kullanıcı için bu kombinasyon güvenilir yazılımla eş anlamlıdır; oysa gerçekte bu, dikkatlice tasarlanmış bir enfeksiyon zincirinin ilk halkasıdır.
Çoğu durumda tehdit, kılık değiştirmiş olarak gelir. mesajlaşma servisi, verimlilik aracı veya senkronizasyon yardımcı programıTamamen zararsız görünen bir isim, simge ve açıklamalarla bu görünüm, özellikle Mac'in günlük çalışma aracı olarak yerleştiği Avrupa ofislerinde, kamu kurumlarında ve şirketlerde ilk şüpheleri daha da azaltıyor; bu da oldukça endişe verici bir detay.
Gatekeeper'ı atlayan ve dropper görevi gören bir Swift yükleyici.
Jamf tarafından açıklanan kampanya, tehdidin ilk bileşeninin şu şekilde işlev gördüğünü gösteriyor: Swift dilinde yazılmış dropperGörünüşte meşru bir yükleyici olan bu uygulamanın asıl amacı, zemini hazırlamak ve uzaktaki bir sunucudan asıl kötü amaçlı kodu indirmektir. Başlangıçta, bu uygulamada bulunan Mach-O ikili dosyası... İmzalanmış ve noter onaylı görünüyor, gerçek bir geliştirici ekip kimliğiyle ilişkilendirilmiş.Bu nedenle, ilk Gatekeeper kontrollerini kolayca geçer.
Analiz edilen vakalardan birinde, damlalık şu şekilde dağıtıldı: Mesajlaşma uygulaması adını içeren DMG disk görüntüsü“zk-call-messenger-installer-3.9.2-lts.dmg” gibi isimler altında ve kampanya için hazırlanmış bir alan adında barındırılan yükleyici, kullanıcıya sözde bir arama ve mesajlaşma aracı olarak kendini sunar, böylece Çalıştırmak için çift tıklamanız yeterlidir.Eski enfeksiyonların karmaşık aşamaları olmadan.
Paket imzalı olsa bile, bazı senaryolarda saldırganlar eklemeler yapabilir. Kullanıcının sağ tıklayıp "Aç" seçeneğini seçmesini zorunlu kılmaya yönelik talimatlar.Bu, uygulamanın Mac App Store'dan gelmediği durumlarda ek macOS uyarılarını atlatmak için kullanılan klasik bir yöntemdir. Birçok kişinin gözden kaçırdığı bu küçük ayrıntı, özellikle yazılım bilinmeyen bir web sitesinden geliyorsa, alarm zillerini çalmalıdır.
Kullanıcı uygulamayı başlattığında, dropper bir dizi işlem gerçekleştirir. İkinci aşamaya geçmeden önce çevresel kontrollerDiğer adımların yanı sıra, bilgisayarın istikrarlı bir internet bağlantısına sahip olduğunu doğrular, belirli sistem koşullarını kontrol eder ve bazı durumlarda minimum yürütme süresine yakın bir süre bekler. 3600 saniye Böylece davranışları çok ani veya şüpheli görünmez.
Saldırganların belirlediği koşullar karşılandığında, program bir sunucuya bağlanır. uzaktan komut ve kontrol sunucusu Genellikle Base64 formatında olan ve MacSync Stealer çekirdeğini içeren şifrelenmiş bir komut dosyasını veya yükü indirmek için. Bu aşamada, sorumlu kod şu işlemlerden sorumludur: Bilgi çalmak ve ele geçirilen Mac üzerinde kontrolü sürdürmek.İlk yükleyici ise yalnızca Truva atı görevi görmekle sınırlıdır.
Tespit edilmekten kaçınmak için şişirilmiş DMG dosyaları, yanıltıcı dosyalar ve indirme değişiklikleri.
Araştırmacıların en çok dikkatini çeken yönlerden biri de şu husustur: Sahte dosyalarla dolu büyük disk görüntüleriBu yükleyiciyle ilişkili DMG dosyası yaklaşık olarak şöyledir: 25,5 MBBu, ilk bakışta basit bir mesajlaşma uygulaması veya hafif bir yardımcı program gibi görünen bir uygulama için alışılmadık derecede yüksek bir hacim.
Jamf Threat Labs'e göre, bu ağırlık elde ediliyor. PDF veya diğer gömülü dosyalar gibi alakasız belgelerle paketi şişirmek Uygulamanın işlevselliğine hiçbir katkı sağlamayan, gereksiz içerikle uygulamanın asıl bileşeninin karışımı. Bu durum, virüsten koruma ve güvenlik çözümleri tarafından gerçekleştirilen otomatik analizleri zorlaştırıyor.Daha büyük miktarda veriyi işlemek ve meşru olanı meşru olmayandan ayırt etmek zorunda olan kişi.
Disk görüntüsünü bağladıktan ve uygulamayı çalıştırdıktan sonra, dropper bir işlem başlatır. yerel çevre taraması Bağlantıdan belirli sistem parametrelerine kadar her şeyi kontrol etmek için. Senaryonun uygun olduğu netleştiğinde, ikinci modülü indirmek için uzak altyapıyla iletişime geçer. Çoğu durumda, yükler şöyledir: Bunlar öncelikle bellekte çalışır ve diskte minimum düzeyde yer kaplar. ve bu durum, daha sonraki adli tespitleri daha da karmaşık hale getiriyor.
Bu ikinci aşamada indirilen kod şunlara karşılık gelir: MacSync, Mac.c olarak bilinen önceki bir ailenin evrimleşmiş halidir.Bağımsız araştırmalar, bu ajanın Go dilinde geliştirildiğini ve diğer modern tehditlerin macOS'u hedef alan trendini takip ederek, yalnızca parola çalmanın çok ötesine geçen bir dizi yeteneğe sahip olduğunu göstermektedir.
Üstelik, saldırganlar taktiklerini bile ince ayar yapıyorlar. İşlemde kullanılan indirme komutlarıÖrneğin, şu tür araçların kullanımı: curl Bu işlem, daha az yaygın parametre kombinasyonlarıyla yapılır; örneğin, tipik dizenin ayrılmasıyla. -fsSL bayraklar gibi -fL y -sSve aşağıdakiler gibi seçenekleri de içerecek şekilde --noproxy— amacıyla Tekrarlanan kalıplara dayalı olarak tespit kurallarından kaçınma ve sunucularına olan bağlantının güvenilirliğini artırırlar.
Veri hırsızından uzaktan kumanda platformuna
MacSync Stealer'ın özü, temel bilgi hırsızlığı kategorisinin ötesine geçiyor: teknik analizler şunları açıklıyor: Tam komuta ve kontrol (C2) yeteneklerine sahip ajanEtkilenen ekiple sürekli iletişim halinde kalmaya ve gerçek zamanlı talimatlar almaya hazır.
Bu aileye atfedilen işlevler arasında şunlar öne çıkmaktadır: Kimlik bilgilerinin, tarama çerezlerinin, banka kartı verilerinin çalınması ve kripto para cüzdanlarıSaldırganların ilgisini çeken her türlü dosyanın sızdırılmasına da olanak tanır. Erişim macOS Anahtar Zincirinde saklanan bilgiler Safari, Chrome veya Firefox gibi tarayıcılardan elde edilen veriler, finansal dolandırıcılık kampanyaları ve kurumsal casusluk için halihazırda çok cazip bir hedef oluşturuyor.
Bir diğer hassas nokta ise şu yetenektir: İsteğe bağlı olarak ek modüller yükleyin.Bu modüler yaklaşım, ele geçirilen ekibin bir tür kötü amaçlı "İsviçre çakısı" haline gelmesini sağlar: bugün odak noktası şifre toplamak olabilirken, yarın tuş vuruşlarını kaydetmek, dosyaları şifrelemek, kurumsal ağda yatay olarak hareket etmek veya yeni uzaktan erişim araçları dağıtmak olabilir.
İspanya'daki ve Avrupa'nın geri kalanındaki kullanıcılar ve işletmeler için, basit bir veri hırsızlığından bir başkasına geçiş, esnek uzaktan kumanda platformu Bu, risk seviyesinde önemli bir sıçramayı temsil ediyor. Virüs bulaşmış bir Mac, artık sadece tek seferlik bir bilgi çalma kaynağı olmaktan çıkıp, çok daha ciddi bir hal alıyor. Kurumsal ağlara, bulut hizmetlerine veya kritik sistemlere açılan kapı. Cihazın erişebildiği.
Bu senaryo, çeşitli siber güvenlik firmaları tarafından gözlemlenen daha geniş bir eğilimle örtüşüyor: macOS'u hedef alan bilgi hırsızlığı yapan ve modüler Truva atı türlerinde sürekli bir artış.Bu durum, Apple ekipmanlarının artan pazar payı ve kullanıcılarının ekonomik profili nedeniyle ortaya çıkıyor; bu da onları çevrimiçi dolandırıcılık için özellikle cazip bir hedef haline getiriyor.
Apple'ın yanıtı ve macOS'taki otomatik korumanın sınırları
Jamf Threat Labs ve diğer güvenlik şirketlerinden gelen uyarıların ardından, Apple, MacSync Stealer kampanyasında kullanılan Team ID ile ilişkili kod imzalama sertifikalarını iptal etti.Bu önlemle, işletim sistemi bu tanımlayıcıyla imzalanmış uygulamalara olan güvenini keser ve kötü amaçlı yazılım dağıtmak için bunu kullanmaya çalışan yeni sürümleri engeller.
Şirket, eş zamanlı olarak kendi portföyünü güncelledi. XProtect ve Gatekeeper gibi dahili koruma mekanizmalarıYeni tespit kuralları ve bilinen hash ve imza listeleriyle birlikte. macOS'un mevcut sürümlerinde, bu kara listeler kullanıcı müdahalesi olmadan sık sık güncellenir, bu nedenle bu çok önemlidir. Sistemi güncel tutun. ve bu yamalardan ve iyileştirmelerden yararlanmak için mevcut güncellemeleri uygulayın.
Bununla birlikte, uzmanlar MacSync Stealer vakasının bir örneği olduğunu ısrarla belirtiyor. macOS için kötü amaçlı yazılımların genel eğilimiSaldırganlar giderek daha fazla şu yönde girişimlerde bulunuyor: Kodunuzu imzalı ve noter onaylı yürütülebilir dosyalara yerleştirin.Böylece tamamen meşru ve güvenilir uygulamalar gibi görünürler. Bunu başardıkları takdirde, kullanıcının net uyarılar alma olasılığı önemli ölçüde azalır.
Jamf ve diğer firmalardan gelen raporlar, Apple'ın tehlikeye girmiş sertifikaları iptal etmesi durumunda bile, Siber suçlular yeni geliştirici kimlikleri kaydedebilir ve aynı stratejiyi tekrarlayabilirler.Yeni eklenen kuralları aşmak için küçük ayrıntıları uyarlayarak. Bu kedi-fare oyunu, yerel macOS savunmalarının ek katmanlarla desteklenmesini zorunlu kılıyor.
Bu bağlam, şu fikri pekiştiriyor: Güvenlik yalnızca otomatik koruma sistemlerine bağlı olamaz.Gatekeeper, XProtect ve noter tasdik süreci çıtayı önemli ölçüde yükseltmiş olsa da, MacSync Stealer gibi saldırılar, birileri uygulamalarını doğrulama zincirine sokmayı başardığında güven mekanizmalarının kullanıcılara karşı da kullanılabileceğini göstermektedir.
İspanya ve Avrupa'daki Mac kullanıcıları üzerindeki etki ve koruma için en iyi uygulamalar
Mac'in genişlemesi İspanya'da ve Avrupa'nın geri kalanında ofisler, üniversiteler ve evler macOS, suç grupları için giderek daha cazip bir hedef haline geldi. Artık niş bir platform değil: giderek daha fazla kuruluş macOS'u altyapılarına entegre ediyor ve bu da MacSync Stealer gibi tehditleri bölge için büyük bir sorun haline getiriyor.
Uzmanlar hem teknik becerileri hem de günlük alışkanlıkları güçlendirmeyi öneriyor. İlk adım, görünüşte basit ama temel bir adımdır: macOS ve uygulamalarınızı güncel tutun. ve gerçekleştir düzenli yedeklemelerApple bu tür tehditler için sık sık yeni imzalar ve engelleme kuralları yayınladığı için, güvenlik güncellemelerini göz ardı etmek, zaten belgelenmiş ve yamalanmış varyantlara açık kapı bırakır.
Ayrıca şu hususların önemine de vurgu yapılmaktadır: Yazılım yüklemesini Mac App Store veya tanınmış geliştiricilerle sınırlandırın.Kurulum dosyasının imzalı ve noter onaylı görünmesi bile, bu örnekte de görüldüğü gibi, mutlak bir güvenlik garantisi değildir. E-posta, mesajlaşma veya güvenilmeyen web siteleri aracılığıyla alınan bağlantılardan uygulama indirmek, enfeksiyon riskini önemli ölçüde artırır.
Bir diğer önemli parça ise Her uygulamanın talep ettiği izinlere dikkat edin.Anahtarlık, kullanıcı belgeleri, tarayıcı geçmişi veya erişilebilirlik özelliklerine erişim, özellikle şüpheli kaynaklı ücretsiz yardımcı programlarla uğraşırken, çok dikkatli bir şekilde verilmelidir. Birçok başarılı virüs bulaşması tam olarak buna dayanmaktadır. Kullanıcının incelemeden kendi kabul ettiği aşırı izinler..
Profesyonel ortamlarda, özellikle Avrupa Birliği içinde, Apple'ın savunmasını aşağıdakilerle desteklemek tavsiye edilir: macOS için özel güvenlik çözümleriEDR araçları ve net yazılım indirme ve yükleme politikaları şarttır. Bu önlemler, özellikle kimlik bilgilerinin çalınması veya bilgi sızdırılması olaylarının cezalara ve güven kaybına yol açabileceği veri koruma düzenlemelerine tabi şirketler için önemlidir.
MacSync Stealer'ı çevreleyen her şey, olayın ne kadar yaygınlaştığını gösteriyor. Mac kötü amaçlı yazılımları artık nadir görülen bir durum değil.Saldırganlar imzalı ve noter onaylı yürütülebilir dosyalara güveniyor, disk imajlarını sahte dosyalarla şişiriyor, uzak sunuculardan ikinci aşama zararlı yazılımları indiriyor ve veri çalabilen ve bilgisayarlar üzerinde uzaktan kontrol sağlayabilen ajanlar dağıtıyor. Bu senaryoda, "Mac'ler virüssüzdür" şeklindeki eski fikir kesinlikle geçerliliğini yitirmiştir ve koruma artık Apple'ın yerleşik savunmalarını birleştirmeyi içerir. iyi kullanım uygulamaları ve sürekli izleme Bilgisayarımızın zincirin en zayıf halkası olmasını önlemek için.