Korsan Uygulamalar Aracılığıyla Apple macOS Kullanıcılarını Tehdit Eden Yeni Bir Fidye Yazılımı

Korsan Uygulamalar Aracılığıyla Apple macOS Kullanıcılarını Tehdit Eden Yeni Bir Fidye Yazılımı

Bu hafta, siber güvenlik araştırmacıları macOS kullanıcılarını hedefleyen ve korsan uygulamalar yoluyla yayılan yeni bir fidye yazılımı türü keşfetti.

K7 Lab kötü amaçlı yazılım araştırmacısı Dinesh Devadoss, Patrick Wardle ve Malwarebytes’ten gelen çeşitli bağımsız raporlara göre “EvilQuest” olarak adlandırılan ve kendini meşru uygulamalarla paketleyen fidye yazılımı çeşidi kurulumdan sonra kendisini Apple’ın CrashReporter veya Google Yazılım Güncellemesi olarak gizliyor.

EvilQuest, kurbanın dosyalarını şifrelemenin yanı sıra kalıcılığını sağlamasını sağlayan yeteneklere sahiptir, tuş vuruşlarını kaydeder, “reverse shell” oluşturur ve kripto para birimi cüzdanıyla ilgili dosyaları çalar.

Bu gelişme ile EvilQuest; KeRanger ve Patcher gibi sadece macOS’u seçen fidye yazılımları grubuna katılıyor.

Kötü amaçlı yazılımın kaynağı, popüler torrent sitelerinde dağıtılan Little Snitch, Mixed In Key 8 ve Ableton Live gibi popüler macOS yazılımlarının trojanlaştırılmış sürümleri gibi görünüyor.

Malwarebytes’te Mac ve mobil direktörü Thomas Reed,”İlk olarak, düzgün kodla imzalanmış özel meşru Little Snitch yükleyici çekici ve profesyonel bir şekilde paketlenmiştir.” dedi. “Ancak, bu yükleyici genel bir simgeye sahip basit bir Apple yükleyici paketiydi. Daha da kötüsü, yükleyici paketi anlamsız bir şekilde disk görüntü dosyasının içine dağıtılmıştı. “

Etkilenen bir bilgisayara yüklendikten sonra EvilQuest, “sleep-patching” tespiti yapmak için bir sandbox kontrolü yapar ve kötü amaçlı yazılım programının bir debugger ile çalışmamasını sağlamak için anti-debugging mantığına sahiptir.

Reed, “Kötü amaçlı yazılımların davranışlarının gecikme ile çalışması alışılmadık bir durum değil.” Dedi. “Örneğin, ilk Mac fidye yazılımı KeRanger’ın sisteme bulaştığı zaman ile dosyaları şifrelemeye başladığı zaman arasında üç günlük bir gecikme oluyordu. Bu kötü amaçlı davranış, üç gün önce yüklenen bir programla hemen ilişkilendirilmeyebileceğinden, kötü amaçlı yazılımın kaynağını gizlemeye yardımcı oluyordu.”

Ayrıca, sistemdeki bu tür kötü niyetli davranışları algılayabilen veya engelleyebilen tüm güvenlik yazılımlarını (örneğin, Kaspersky, Norton, Avast, DrWeb, McAfee, Bitdefender, and Bullguard )kapatır ve kullanıcının giriş yaptığında zararlı yazılımın otomatik başlatılması için launch agent ve daemon özellikleri dosyaları (“com.apple.questd.plist”) kullanarak kalıcılık sağlar.

Son aşamada ilk başta EvilQuest kendi kopyasını çıkarır ve kripto cüzdan ve “keychain” dahil tüm dosyaları şifrelemeye başlar. Ardından 72 saat içinde 50 dolar ödenmesi veya dosyaların kilitli bırakılma riskiyle ilgili fidye talimatlarını görüntüler.

Ancak EvilQuest, komutları uzaktan yürütmek, keylogger’ı başlatmak, reverse-shell oluşturmak ve hatta doğrudan kötü amaçlı bir payload çalıştırmak ve kontrol sunucusuyla iletişim kurma yeteneği de dahil olmak üzere özellikleriyle tipik fidye yazılımlarının ötesine geçer.

Wardle, “Bu yeteneklerle donatılmışken, saldırgan virüs bulaşmış bir ana bilgisayar üzerinde tam kontrolü koruyabilir.” dedi.

Decrypter oluşturmak için şifreleme algoritmasında bir zayıflık bulma çalışmaları devam ederken, veri kaybını önlemek için macOS kullanıcılarının yedek oluşturmaları ve “RansomWhere?” gibi bir yardımcı yazılım kullanılarak da bu tarz saldırıların önüne geçmeleri öneriliyor.

Reed, “Fidye yazılımının sonuçlarından kaçınmanın en iyi yolu iyi bir yedekleme kümesi sağlamaktır.” “Tüm önemli verilerin en az iki yedek kopyasını saklayın ve en az bir tanesi Mac’inize sürekli bağlı tutulmamalıdır.” dedi.

Kaynak: TheHackerNews.com

Related Posts

Facebook Comments