MacOS cihazları, makinenizi ele geçirmek isteyen korsan uygulamalar tarafından hedef alınıyor

Jamf Threat Labs siber güvenlik araştırmacıları, macOS kullanıcılarını hedef alan yeni bir kötü amaçlı yazılım ortaya çıkardı.

Adı açıklanmayan kötü amaçlı yazılım, 2021 yılında keşfedilen ve ZuRu adı verilen başka bir kötü amaçlı kod parçasıyla birçok benzerlik taşıyor.

Araştırmacılar ayrıntılı bir raporda, kötü amaçlı yazılımın üç ayrı korsan yazılımda gizlendiğinin tespit edildiğini söyledi. Microsoft Remote Desktop da dahil olmak üzere yazılımlar, farklı korsan uygulamalara bağlantılar sağlayan Çinli bir web sitesinde bulundu.

ZuRu’nun hayaleti

Bir kullanıcı güvenliği ihlal edilmiş uygulamalardan herhangi birini indirir ve çalıştırırsa, kötü amaçlı yazılım arka planda birden fazla yük indirecek ve çalıştıracaktır. Bu yüklerin hepsi, damlalık görevi görmekten arka kapı olmaya ve ek kötü amaçlı yükler sunmak için kalıcı bir indirici olarak çalışmaya kadar farklı şeylerle görevlidir.

ZuRu’nun üç yıl önce yaptığına benzer şekilde, hedeflerinin Çinli macOS kullanıcıları olduğu görülüyor.

2021 yılında Objective-See ve Trend Micro’dan siber güvenlik araştırmacıları ZuRu’nun iTerm, SecureCRT, Navicat Premium ve Remote Desktop Client gibi uygulamaların korsan sürümlerinde saklandığını gözlemledi. Bu uygulamaları indiren kişiler, uygulamaların amaçlandığı gibi çalıştığını gördü, ancak arka planda bir Python betiğinin yürütüldüğünden habersizdi.

Bu komut dosyası kurban uç noktasından hassas verileri çaldı ve bunları saldırganlar tarafından kullanılan bir komuta ve kontrol (C2) sunucusuna gönderdi.

Jamf araştırmacıları, “Hedeflenen uygulamalar, değiştirilmiş yükleme komutları ve saldırgan altyapısı göz önüne alındığında, bu kötü amaçlı yazılımın ZuRu kötü amaçlı yazılımının bir halefi olması mümkündür” dedi.

Araştırmacılar ayrıca korsan yazılımların kötü amaçlı yazılımları gizlemek için harika bir yer olduğunu, çünkü kullanıcıların yasadışı faaliyetlerde bulunduklarını anladıklarını ve antivirüs programlarının bir bayrak kaldırmasını beklediklerini de sözlerine ekledi. “Bu da kullanıcıların Gatekeeper gibi işletim sisteminde yerleşik olarak bulunan ve kullanıcıyı bu uygulamaların açılmasının güvenli olmadığı konusunda bilgilendiren güvenlik uyarılarını atlamaya istekli olmalarına neden oluyor.”

Dolayısıyla, bu tür tehditlere karşı korunmanın en iyi yolu ilk etapta korsan yazılım çalmamak ve indirmemektir.