CrashStealer: Apple Çökme Raporu Kılığındaki Yeni macOS Kötü Amaçlı Yazılımı Yazılım

CrashStealer: Apple Çökme Raporu Kılığındaki Yeni macOS Kötü Amaçlı Yazılımı

CrashStealer, Apple'ın CrashReporter aracını taklit ederek macOS kullanıcılarının şifrelerini, anahtar zinciri verilerini ve 80'den fazla kripto para

Siber güvenlik araştırmacıları, macOS işletim sistemini hedef alan yeni bir bilgi hırsızı kötü amaçlı yazılımı olan CrashStealer'ı tespit etti. Bu zararlı yazılım, adını ve görünümünü Apple'ın meşru çökme raporlama aracı CrashReporter.app'ten alarak kullanıcıları ve güvenlik yazılımlarını kandırmayı hedefliyor. Mayıs ayında geliştirme aşamasında keşfedilen zararlı, Temmuz başında aktif saldırılarda kullanılmaya başlandı.

CrashStealer, tipik bir bilgi hırsızı yetenek setine sahip olmakla birlikte, özellikle parola yöneticilerine ve 80'den fazla kripto para cüzdanı eklentisine odaklanıyor. MetaMask, Phantom, Coinbase Wallet, Trust Wallet gibi popüler cüzdanların yanı sıra 1Password, Bitwarden, LastPass gibi 14 farklı parola yöneticisini hedef alıyor. Ayrıca Chromium tabanlı tarayıcılar ve Firefox'tan kimlik bilgileri ve çerezleri çalıyor.

Zararlı yazılımın en dikkat çekici özelliklerinden biri, Apple tarafından noter onayı almış bir kurulum dosyası (Werkbit Setup) ile dağıtılması. Bu sayede macOS'un yerleşik kötü amaçlı yazılım önleme aracı Gatekeeper'ı herhangi bir uyarı vermeden aşabiliyor. Kurulum sırasında sahte bir macOS parola istemi göstererek kullanıcıyı yönetici yetkileri vermeye ikna ediyor.

Uzmanların Görüşleri

Kullanıcı parolasını girdiğinde, zararlı bu parolayı yerel olarak doğruluyor. Parola doğruysa, macOS'un şifrelenmiş parola kasası olan Anahtar Zinciri'ne (Keychain) erişerek Safari oturum açma bilgileri, Wi-Fi şifreleri, uygulama parolaları, özel kriptografik anahtarlar ve sertifikalar gibi hassas verileri çalıyor. Yanlış parola durumunda ise hata mesajı göstererek kullanıcıyı tekrar denemeye zorluyor.

Çalınan verileri sızdırmadan önce, CrashStealer AES-256-GCM algoritması ile şifreliyor ve gizli ZIP arşivlerine paketliyor. Bu kadar güçlü bir şifreleme yöntemi, bilgi hırsızı zararlılar için alışılmadık bir durum. Ardından sıkıştırılmış verileri libcurl kullanarak komuta ve kontrol (C2) sunucusuna yüklüyor. Araştırmacılar, bu istemci tarafı şifreleme mekanizması ve native C++ uygulamasıyla CrashStealer'ı diğer bilgi hırsızı ailelerinden ayırt ediyor.

CrashStealer'ın ilk dağıtım yöntemi tam olarak bilinmemekle birlikte, ilk aşama yükün (Werkbit Setup) Haziran sonunda kayıtlı sahte bir yazılım sitesinde barındırıldığı tespit edildi. Yükü indirmek için bir toplantı PIN kodu gerekiyor, bu da kampanyanın yalnızca doğru koda sahip ziyaretçilere yönelik olduğunu gösteriyor. Jamf araştırmacıları, CrashStealer kampanyasının imzalı ve noter onaylı bir bulaştırıcı ve kalıcılık için kendini yeniden imzalayan bir yük kullanarak gizliliğe odaklanan dikkatli bir operasyon olduğunu belirtiyor.

Kaynak: bleepingcomputer.com

Paylaş: