Jamf Threat Labs tarafından keşfedilen yeni bir macOS zararlısı, Apple'ın yerleşik çökme raporlama bileşenini taklit ederek kullanıcıları tuzağa düşürüyor. CrashStealer adı verilen bu bilgi hırsızı, oturum açma bilgileri, kripto para cüzdanları ve tarayıcılarda saklanan diğer tüm verileri çalmak üzere tasarlanmış. C++ ile yazılan zararlı, ilk kez Temmuz başında tespit edildi ve Apple'ın çökme raporlama bileşenini taklit eden bir disk imajı aracılığıyla dağıtılıyor.
Saldırı zincirinin ilk aşaması henüz detaylandırılmamış olsa da, en azından ikinci aşamada kullanıcı, Apple tarafından imzalanmış ve noter onaylı bir dropper'a yönlendiriliyor. 'Werkbit Setup' adlı bu disk imajı, geçerli bir Apple geliştirici kimliği ve noter onayı belgesi taşıyor. Bu sayede, macOS'un ilk açılışta kötü amaçlı yazılım çalıştırılmasını engellemek için tasarlanmış Gatekeeper güvenlik özelliğini aşabiliyor.
Jamf Threat Labs Direktörü Jaron Bradley, 'Geliştirici Kimliği, uygulamanın bir imzalama sertifikası satın almış bir geliştirici tarafından imzalandığını gösterir. Bu sertifika, kötü amaçlı uygulamayı kriptografik olarak imzalamak ve daha meşru görünmesini sağlamak için kullanılır. Birçok bilgi hırsızı, sertifika satın almayı ve uygulamayı Apple'ın noter onayı sunucularına göndermeyi gerektirdiği için bu adımı atlar. Bu süreci başarıyla geçmenin getirisi, uygulama açılmaya çalışıldığında ekranda daha az güvenlik uyarısı görülmesidir' dedi.
Kullanıcı, meşru bir yazılım yükleyicisine benzeyen uygulamayı çalıştırmaya teşvik ediliyor. Yükleme gerçekleşirse, uygulama bir GitHub API'sine bağlanarak karışık bir betik kodunu çözüyor. Çözülen bu betik, CrashStealer yükünü getiren bir indirici-yükleyici haline geliyor. Araştırmacılar, disk imajının Apple'ın çökme raporlama bileşenini taklit edecek şekilde tasarlanmış bir uygulama paketini kullanmasının, zararlının tespit edilmekten kaçmasına yardımcı olduğunu belirtti.
Zararlı yüklendikten sonra, gerçek bir macOS yetkilendirme isteğini taklit eden yerel bir parola istemi gösteriyor. Bu, saldırganların makinenin doğru sistem oturum açma bilgilerini çaldıklarından emin olma çabası. Ardından CrashStealer, hedefine yöneliyor: tarayıcıda saklanan kullanıcı adları, parolalar ve diğer kimlik bilgileri; kripto para cüzdan girişleri, parola yöneticileri ve hesaplara erişim sağlayan diğer anahtar zinciri verileri.
Jamf Threat Labs kıdemli tehdit ve tespit araştırmacısı Thijs Xhaflaire, 'CrashStealer'ın teslimat zinciri gerçek bir özen gösteriyor: operatörler, çıplak, imzasız bir yem yerine, Gatekeeper'ı aşan imzalı ve noter onaylı bir dropper kullanıyor. Onu sıradan bilgi hırsızlarından ayıran şey, ne topladığından çok nasıl inşa edildiği: toplanan dosyaların istemci tarafında AES-GCM şifrelemesi ve kontrol akışı düzleştirme, şifrelenmiş dizeler ve katmanlı hata ayıklama önleme yoluyla analiz direnci vurgusu' dedi.
Araştırmacılar, CrashStealer'ın Atomic (AMOS) ve MacSync gibi diğer macOS zararlılarıyla bazı benzerlikler taşımasına rağmen, yerel C++ uygulaması ve istemci tarafı şifrelemesiyle farklı bir varyant olduğunu belirtiyor. Jamf Threat Labs, kötü amaçlı yükleri dağıtmak için kullanılan Geliştirici Takım Kimliği'ni tespit ettikten sonra Apple'a bildirdi ve Apple bu kimliği hemen iptal etti.
Kaynak: infosecurity-magazine.com