Siber güvenlik araştırmacıları, macOS sistemlerini hedef alan ve CrashStealer adı verilen yeni bir bilgi hırsızı keşfetti. Jamf Threat Labs tarafından incelenen bu zararlı yazılım, hassas verileri toplamak için gelişmiş teknikler kullanıyor. Diğer bilgi hırsızlarından farklı olarak, CrashStealer native C++ ile yazılmış ve AppleScript dropper veya Objective-C tabanlı sarmalayıcılar yerine doğrudan sistem kaynaklarına erişiyor.
CrashStealer'ın en dikkat çekici özelliklerinden biri, Apple'ın noter onayından geçmiş bir dropper ile dağıtılması. 'Werkbit.app' adlı disk imajı dosyası, hem imzalı hem de noter onaylı olduğu için Gatekeeper kontrollerini sorunsuz bir şekilde geçiyor. Bu sayede kullanıcılar, güvenilir bir uygulama zannederek zararlıyı çalıştırabiliyor. Disk imajı, 'werkbit[.]io' alan adından indiriliyor ve yalnızca doğru toplantı PIN koduna sahip ziyaretçilere sunuluyor.
Zararlı yazılım, çalıştırıldığında öncelikle bir GitHub deposundan 'sys.cache' adlı dosyayı indiriyor. Bu dosya, bir curl komutu ve shell script'i içeriyor. Script, '/tmp' dizinine 'CrashReporter.dmg' adlı ikinci bir yükü indiriyor. Ardından zararlı, LaunchAgent olarak kalıcılık sağlıyor ve analiz edilmesini zorlaştırmak için çeşitli anti-debugging teknikleri kullanıyor.
CrashStealer, kurbanın giriş şifresini yerel olarak doğruluyor ve bu şifreyi kullanarak anahtar zincirini (keychain) açıyor. Ardından, Chromium tabanlı tarayıcılardan (Google Chrome, Brave, Microsoft Edge, Opera, Vivaldi vb.) kimlik bilgilerini, yaklaşık 80 farklı kripto para cüzdanı eklentisini (MetaMask, Phantom, Coinbase, Trust Wallet, Rabby gibi), 14 parola yöneticisini (1Password, Bitwarden, LastPass, Dashlane gibi) ve ~/Documents ile ~/Downloads dizinlerindeki dosyaları topluyor.
Sonuç ve Değerlendirme
Toplanan veriler, AES-GCM algoritması ile şifreleniyor ve bir ZIP arşivi halinde saldırganın sunucusuna ('179.43.166[.]242') exfiltrate ediliyor. Jamf Threat Labs, bu zararlının diğerlerinden ayrılan en önemli özelliğinin, topladığı verilerden ziyade, istemci tarafında AES-GCM şifreleme kullanması ve analiz direnci için kontrol akışı düzleştirme, şifreli dizeler ve katmanlı anti-debugging teknikleri uygulaması olduğunu belirtiyor.
Detaylar ve Etkileri
CrashStealer'ın keşfi, macOS kullanıcıları için önemli bir uyarı niteliği taşıyor. Güvenilir görünen uygulamaların bile arkasında kötü niyetli yazılımlar olabileceği unutulmamalı. Kullanıcıların, uygulamaları yalnızca resmi kaynaklardan indirmeleri, güvenlik yazılımlarını güncel tutmaları ve şüpheli bağlantılara tıklamaktan kaçınmaları önerilir. Ayrıca, parola yöneticileri ve kripto cüzdanlar gibi hassas verilerin korunması için ek güvenlik önlemleri alınması önem taşıyor.
Kaynak: thehackernews.com