macOS CrashStealer Zararlı Yazılımı: Noter Onaylı Dropper ile Gatekeeper’ı Atlatıyor Yazılım

macOS CrashStealer Zararlı Yazılımı: Noter Onaylı Dropper ile Gatekeeper’ı Atlatıyor

CrashStealer, Apple’ın noter onayından geçmiş bir dropper ile macOS Gatekeeper’ı aşarak kullanıcıların hassas verilerini çalıyor.

Siber güvenlik araştırmacıları, macOS sistemlerini hedef alan yeni bir bilgi hırsızı olan CrashStealer’ı tespit etti. Jamf Threat Labs tarafından keşfedilen bu zararlı yazılım, diğer macOS bilgi hırsızlarından farklı olarak native C++ ile yazılmış. Araştırmacı Thijs Xhaflaire’e göre CrashStealer, kurbanın giriş parolasını yerel olarak doğruluyor, ardından tarayıcılar, kripto para cüzdanları, parola yöneticileri ve anahtarlıktan veri topluyor. Toplanan veriler AES-GCM ile şifrelenip libcurl üzerinden sızdırılıyor.

CrashStealer’ın dikkat çeken yönü, dağıtım yöntemi. Zararlı yazılım, Apple tarafından noter onayı almış ve imzalanmış bir dropper ile geliyor. 'Werkbit.app' adlı disk imajı dosyası olarak dağıtılan bu dropper, geçerli bir geliştirici kimliği ('Emil Grigorov (WWB7JA7AQV)') taşıdığı için Gatekeeper denetimlerinden sorunsuz geçiyor. Disk imajı 'werkbit[.]io' alan adından indiriliyor ve indirme işlemi bir toplantı PIN kodu ile korunuyor; yani yalnızca doğru koda sahip ziyaretçiler kurulum dosyasına erişebiliyor.

Kullanıcı disk imajını monte ettiğinde, bir kurulum ekranı beliriyor ve uygulamaya sağ tıklayıp 'Aç' seçeneğini seçmeleri isteniyor. Uygulama çalıştırıldığında, 'veltod' adlı çalıştırılabilir dosya bir GitHub deposuna ('github.com/mgothiclove') bağlanarak 'sys.cache' dosyasını indiriyor. Bu dosya, bir curl komutu ve ardından bir shell scripti çalıştırarak asıl yükü ('CrashReporter.dmg') '/tmp' dizinine indiriyor. Bu karmaşık dağıtım zinciri, zararlı yazılımın tespit edilmesini zorlaştırıyor.

Teknik Analiz

CrashStealer çalıştırıldığında, bir LaunchAgent olarak kalıcılık sağlıyor, analiz direnci gösteriyor ve bir parola istemi açıyor. Girilen parolayı yerel olarak doğruladıktan sonra login anahtarlığının kilidini açıyor. Ardından Chromium tabanlı tarayıcılardan (Google Chrome, Brave, Microsoft Edge, Opera, Vivaldi, Chromium, Naver Whale) kimlik bilgilerini, yaklaşık 80 kripto para cüzdan eklentisini (MetaMask, Phantom, Coinbase, Trust Wallet, Rabby, OKX Wallet, Exodus, Keplr, Solflare, Backpack dahil), 14 parola yöneticisini (1Password, Bitwarden, LastPass, Dashlane, Keeper, KeePassXC, NordPass, Enpass, RoboForm) ve ~/Documents ile ~/Downloads dizinlerindeki dosyaları topluyor.

Nasıl Önlem Alınmalı?

Toplanan veriler bir ZIP arşivine sıkıştırılıp saldırganın kontrolündeki bir sunucuya ('179.43.166[.]242') gönderiliyor. Jamf araştırmacıları, CrashStealer’ın diğer bilgi hırsızlarından farkını vurguluyor: 'Topladığı verilerden ziyade, nasıl inşa edildiği onu farklı kılıyor. Toplanan dosyaların istemci tarafında AES-GCM ile şifrelenmesi, kontrol akışı düzleştirme, şifrelenmiş dizeler ve katmanlı anti-debugging teknikleri ile analiz direnci sağlanması öne çıkıyor.'

Sistem Güvenliği

CrashStealer’ın keşfi, macOS kullanıcıları için önemli bir uyarı niteliği taşıyor. Apple’ın noter onayı ve Gatekeeper mekanizmalarına rağmen, bu tür zararlı yazılımların sistemlere sızabildiği görülüyor. Kullanıcıların, güvenmedikleri kaynaklardan uygulama indirmemeleri, PIN korumalı indirme bağlantılarına karşı dikkatli olmaları ve güvenlik yazılımlarını güncel tutmaları öneriliyor. Ayrıca, sistemlerinde şüpheli aktiviteleri izlemek için güvenlik araçlarının kullanılması ve düzenli olarak parola anahtarlığı ile tarayıcı verilerinin kontrol edilmesi önem taşıyor.

Kaynak: thehackernews.com

Paylaş: