CrashStealer macOS Kötü Amaçlı Yazılımı: Apple Onaylı Dağıtıcı ile Gatekeeper'ı Atlıyor Yazılım

CrashStealer macOS Kötü Amaçlı Yazılımı: Apple Onaylı Dağıtıcı ile Gatekeeper'ı Atlıyor

CrashStealer, Apple'ın noter onayını kötüye kullanarak macOS Gatekeeper'ı aşan yeni bir bilgi hırsızı. C++ tabanlı yapısı ve AES-GCM şifrelemesiyle di

Siber güvenlik araştırmacıları, macOS sistemlerini hedef alan yeni bir bilgi hırsızı keşfetti: CrashStealer. Jamf Threat Labs tarafından tespit edilen bu kötü amaçlı yazılım, hassas verileri çalmak için gelişmiş teknikler kullanıyor. Diğer bilgi hırsızlarından farklı olarak, CrashStealer tamamen yerel C++ ile yazılmış ve AppleScript dağıtıcıları veya Objective-C tabanlı sarmalayıcılar kullanmıyor.

CrashStealer'ın en dikkat çekici özelliği, Apple tarafından noter onaylı bir dağıtıcı kullanarak Gatekeeper kontrollerini aşması. 'Werkbit.app' adlı bir disk imajı dosyasıyla dağıtılan kötü amaçlı yazılım, hem disk imajı hem de ikili dosya noter onaylı olduğu için Gatekeeper tarafından güvenli olarak işaretleniyor. Dağıtıcı, 'Emil Grigorov (WWB7JA7AQV)' adlı geçerli bir geliştirici kimliği taşıyor.

Kötü amaçlı yazılımın dağıtım süreci oldukça sofistike. 'werkbit[.]io' alan adından indirilen disk imajı, yalnızca doğru toplantı PIN koduna sahip ziyaretçilere sunuluyor. Bu, indirme işleminin rastgele kullanıcılar tarafından değil, hedeflenen kişiler tarafından gerçekleştirilmesini sağlıyor. Aynı operasyona ait ek alan adları ve paylaşılan arka uç altyapısı, CrashStealer'ın daha büyük, çok platformlu bir kampanyanın parçası olduğunu gösteriyor.

Gelecekte Ne Bekleniyor?

CrashStealer, çalıştırıldığında bir dizi karmaşık adım izliyor. İlk olarak, 'veltod' adlı yürütülebilir dosya, 'github.com/mgothiclove' adlı bir GitHub deposundan 'sys.cache' dosyasını alıyor. Bu dosya, bir curl komutu çıkararak bir kabuk betiği indiriyor. Betik, 'CrashReporter.dmg' adlı ikinci bir yükü indirip '/tmp' dizinine kaydediyor. Ardından, kötü amaçlı yazılım LaunchAgent olarak kalıcılık sağlıyor, şifre istemi gösteriyor ve girilen şifreyi yerel olarak doğruluyor.

Nasıl Önlem Alınmalı?

Doğrulanan şifreyle giriş anahtarlığını (keychain) açan CrashStealer, yüklü güvenlik ve analiz araçlarını listeleyip tarayıcı verilerini, kripto para cüzdan eklentilerini, şifre yöneticilerini ve anahtarlık materyallerini toplamaya başlıyor. Hedefler arasında Chromium tabanlı tarayıcılar (Google Chrome, Brave, Microsoft Edge, Opera, Vivaldi, vb.), 80'den fazla kripto para cüzdan eklentisi (MetaMask, Phantom, Coinbase, Trust Wallet, Rabby, OKX Wallet, Exodus, Keplr, Solflare, Backpack), 14 şifre yöneticisi (1Password, Bitwarden, LastPass, Dashlane, Keeper, KeePassXC, NordPass, Enpass, RoboForm) ve ~/Documents ile ~/Downloads dizinlerindeki dosyalar bulunuyor.

Detaylar ve Etkileri

Toplanan veriler, AES-GCM algoritmasıyla şifrelenip bir ZIP arşivine paketleniyor ve '179.43.166[.]242' adlı saldırgan kontrolündeki bir sunucuya gönderiliyor. Jamf Threat Labs araştırmacıları, CrashStealer'ı diğer bilgi hırsızlarından ayıran en önemli özelliğin, topladığı verilerden ziyade yapısal detayları olduğunu belirtiyor. İstemci tarafında AES-GCM şifrelemesi, kontrol akışı düzleştirme (control-flow flattening), şifrelenmiş dizeler ve katmanlı hata ayıklama karşıtı (anti-debugging) teknikler, kötü amaçlı yazılımı analiz etmeyi zorlaştırıyor.

Kaynak: thehackernews.com

Paylaş: