macOS kullanıcılarını hedef alan yeni bir kötü amaçlı yazılım türü, Apple'ın yerleşik çökme raporlama bileşenini taklit ederek kurbanları şifre çalan bir yükü yüklemeye ikna ediyor. Jamf Threat Labs tarafından detaylandırılan CrashStealer, macOS bilgi hırsızı olarak tasarlanmış ve oturum açma bilgileri, kripto para cüzdanları ve sistem veya tarayıcıda saklanan diğer tüm verileri toplamayı amaçlıyor.
C++ ile yazılan CrashStealer ilk kez Temmuz ayı başlarında tespit edildi. Apple'ın yerleşik çökme raporlama bileşenini taklit eden bir disk imajı aracılığıyla dağıtılıyor. Saldırı zincirinin ilk aşaması detaylandırılmamış olsa da, en azından ikinci aşamada kullanıcı, 'Werkbit Setup' adlı bir disk imajı olarak dağıtılan, Apple tarafından noter onaylı imzalı bir dropper'a yönlendiriliyor.
Bu disk imajı, geçerli bir Apple geliştirici kimliği ve noter onayı ile imzalanmış. Bu sayede, macOS'un ilk çalıştırmada kötü amaçlı yazılımın çalışmasını engellemek için tasarlanmış güvenlik özelliği Gatekeeper'ı aşabiliyor. Jamf Threat Labs Direktörü Jaron Bradley'ye göre, 'Geliştirici Kimliği'nin varlığı, uygulamanın bir imzalama sertifikası satın alan bir geliştirici tarafından imzalandığını gösteriyor. Bu sertifika, kötü amaçlı uygulamayı kriptografik olarak imzalamak ve daha meşru göstermek için kullanılıyor.'
Kullanıcı, meşru bir yazılım yükleyicisine benzeyen uygulamayı çalıştırmaya teşvik ediliyor. Yükleme yapılırsa, uygulama bir GitHub API'sine bağlanarak şifrelenmiş bir betiği çözüyor. Çözülen betik, CrashStealer yükünü getiren bir indirici-yükleyici haline geliyor. Araştırmacılar, disk imajının Apple'ın çökme raporlama bileşenini taklit eden bir uygulama paketinden yararlandığını ve bunun da tespit edilmekten kaçınmaya yardımcı olduğunu belirtiyor.
Teknik Analiz
Kurulduktan sonra, bilgi hırsızı, meşru bir macOS yetkilendirme isteğine benzeyen yerel bir şifre istemi görüntülüyor. Bu, saldırganların makine için doğru sistem oturum açma bilgilerini çaldıklarından emin olma çabası. Ardından CrashStealer asıl hedefine yöneliyor: tarayıcıda saklanan kullanıcı adları, şifreler ve diğer kimlik bilgileri ile kripto para cüzdanları, şifre yöneticileri ve anahtar zinciri verilerini çalmak.
Sistem Güvenliği
Jamf Threat Labs kıdemli tehdit araştırmacısı Thijs Xhaflaire, 'CrashStealer'ın dağıtım zinciri gerçek bir özen gösteriyor: çıplak, imzasız bir tuzak yerine, saldırganlar saldırıyı Gatekeeper'ı geçen imzalı ve noter onaylı bir dropper ile başlatıyor, ardından sessizce yükü getirip yeniden imzalayıp çalıştırıyor' dedi. CrashStealer'ı diğer sıradan hırsızlardan ayıran şey, topladığı verilerden çok nasıl yapılandırıldığı: toplanan dosyaların istemci tarafında AES-GCM şifrelemesi ve kontrol akışı düzleştirme, şifrelenmiş dizeler ve katmanlı hata ayıklama önleme yoluyla analiz direnci vurgusu.
Araştırmacılar, CrashStealer'ın Atomic (AMOS) ve MacSync gibi diğer macOS kötü amaçlı yazılım türleriyle bazı benzerlikler göstermesine rağmen, yerel C++ uygulaması ve istemci tarafı şifrelemesinin onu farklı bir varyant olarak ayırdığını belirtiyor. Jamf Threat Labs, kötü amaçlı yükleri dağıtmak için bir Geliştirici Takım Kimliği kullanıldığını doğruladıktan sonra Apple'a bildirdi ve Apple geliştirici kimliğini hemen iptal etti.
Kaynak: infosecurity-magazine.com