Apple’ın macOS işletim sistemi için geliştirdiği güvenlik önlemleri, siber suçlular tarafından sürekli olarak test ediliyor. Son olarak Jamf Threat Labs tarafından keşfedilen CrashStealer adlı yeni bir kötü amaçlı yazılım, macOS kullanıcılarını hedef alıyor. Bu zararlı yazılım, Apple'ın yerleşik crash raporlama bileşenini taklit ederek kullanıcıları şifre çalan bir yükü yüklemeye ikna ediyor. C++ ile yazılan CrashStealer, Temmuz ayı başlarında tespit edildi ve özellikle oturum açma bilgileri, kripto para cüzdanları ve tarayıcıda saklanan diğer verileri hedef alıyor.
CrashStealer'ın saldırı zinciri, kullanıcıyı 'Werkbit Setup' adlı bir disk imajına yönlendiriyor. Bu disk imajı, geçerli bir Apple geliştirici kimliği (Developer ID) ve noter onayı (notarization) ile imzalanmış. Bu sayede macOS'un Gatekeeper güvenlik özelliğini aşabiliyor. Gatekeeper, ilk çalıştırmada kötü amaçlı yazılımların çalışmasını engellemek için tasarlanmış bir mekanizma. Ancak CrashStealer'ın imzalı olması, kullanıcıya daha az güvenlik uyarısı gösterilmesini sağlıyor. Jamf Threat Labs Direktörü Jaron Bradley'e göre, birçok bilgi çalıcı, sertifika satın almayı ve Apple'ın noter onayı sürecini gerektirdiği için bu adımı atlıyor, ancak CrashStealer'ın arkasındaki saldırganlar bu yatırımı yaparak daha inandırıcı bir tuzak kuruyor.
Kullanıcı, meşru bir yazılım yükleyiciye benzeyen uygulamayı çalıştırdığında, uygulama bir GitHub API'sine bağlanıyor. Bu API, karışık bir betik kodunu çözüyor ve bu betik, CrashStealer yükünü indiren bir indirici-yükleyici haline geliyor. Araştırmacılar, bu sürecin disk imajının Apple'ın crash raporlama bileşenini taklit eden bir uygulama paketini kullanmasıyla kolaylaştığını belirtiyor. Bu sayede kötü amaçlı yazılım, tespit edilmekten kaçınıyor. Saldırganlar, kullanıcının sistemine eriştikten sonra, gerçek bir macOS yetkilendirme isteğine benzeyen yerel bir şifre istemi gösteriyor. Bu, saldırganların doğru sistem oturum açma bilgilerini çalmasını sağlıyor.
Şifre doğrulandıktan sonra CrashStealer asıl hedefine yöneliyor: tarayıcılarda saklanan kullanıcı adları, şifreler ve diğer kimlik bilgileri; kripto para cüzdanları, şifre yöneticileri ve diğer anahtarlık verileri. Bu bilgilerle saldırganlar, kurbanın hesaplarına erişebiliyor. Jamf Threat Labs kıdemli tehdit araştırmacısı Thijs Xhaflaire, CrashStealer'ın teslimat zincirinin özenle tasarlandığını belirtiyor: imzasız bir tuzak yerine, saldırganlar Gatekeeper'ı aşan imzalı ve noter onaylı bir indirici kullanıyor, ardından sessizce yükü getirip yeniden imzalayarak çalıştırıyor.
CrashStealer'ı diğer bilgi çalıcılardan ayıran özellik, sadece topladığı veriler değil, aynı zamanda nasıl inşa edildiği. Xhaflaire, kötü amaçlı yazılımın istemci tarafında AES-GCM şifreleme kullandığını ve analiz direnci için kontrol akışı düzleştirme, şifrelenmiş dizeler ve katmanlı hata ayıklama önlemleri içerdiğini vurguluyor. Araştırmacılar, CrashStealer'ın Atomic (AMOS) ve MacSync gibi diğer macOS kötü amaçlı yazılımlarıyla bazı benzerlikler taşımasına rağmen, yerel C++ uygulaması ve istemci tarafı şifrelemesiyle farklı bir varyant olduğunu belirtiyor.
Önemli Gelişmeler
Jamf Threat Labs, kötü amaçlı yükleri dağıtmak için kullanılan Developer Team ID'yi tespit ettikten sonra Apple'a bildirdi. Apple, bu geliştirici kimliğini derhal iptal etti. Infosecurity, konuyla ilgili Apple'dan henüz bir yorum alamadı. Bu olay, macOS kullanıcılarının güvenilir görünen uygulamalara karşı bile dikkatli olması gerektiğini bir kez daha hatırlatıyor. CrashStealer gibi kötü amaçlı yazılımlar, Apple'ın güvenlik önlemlerini aşmak için sürekli yeni yöntemler geliştiriyor. Kullanıcıların, bilinmeyen kaynaklardan yazılım indirmemeleri ve sistemlerini güncel tutmaları önem taşıyor.
Kaynak: infosecurity-magazine.com