Siber Güvenlik Portalı

  1. Anasayfa
  2. »
  3. Haberler
  4. »
  5. Yeni MacOS Kötü Amaçlı Yazılım, Saldırganların Cihazı Uzaktan Kontrol Etmesini Sağlıyor

Yeni MacOS Kötü Amaçlı Yazılım, Saldırganların Cihazı Uzaktan Kontrol Etmesini Sağlıyor

Siber Güvenlik Portalı Siber Güvenlik Portalı - - 5 dk okuma süresi
202 0
Bilgisayar Korsanları MacOS

Yeni MacOS Kötü Amaçlı Yazılım, Saldırganların Cihazı Uzaktan Kontrol Etmesini Sağlıyor

HZ RAT, 2020’den beri Windows tabanlı cihazları hedef alan bir uzaktan erişim truva atı (RAT) olup, yakın zamanda Mac kullanıcılarını da hedef almak üzere güncellenmiştir.

Bu yazılımın hedef aldığı işletim sistemi MacOS Kötü Amaçlı Yazılım olduğu belirlendi. 

Tipik olarak, bir RAT, saldırganın hedef bilgisayarı uzaktan kontrol etmesine ve tam yönetici yetkileri elde etmesine olanak tanıyan bir tür kötü amaçlı yazılımdır.

RAT’ler genellikle kimlik avı e-postaları aracılığıyla e-posta eki olarak ya da video oyunları gibi meşru kullanıcı talepleriyle birlikte indirilen uygulamalarla hedefe ulaştırılır.

5 Eylül’de Intego, macOS ortamlarına saldırmak üzere tasarlanmış yeni bir HZ RAT sürümünün piyasada yayıldığını bildirmiştir.

Önceki HZ RAT raporlarına göre, kötü amaçlı yazılımın kaynağı Çin’dir, ancak Intego atıf bilgisi paylaşmamaktadır.

HZ RAT, Mac kötü amaçlı yazılımları ailesine yeni bir ekleme olarak, saldırgana tam uzaktan yönetim erişimi sağlar. Bu RAT, 2022’de Windows PC’lerde ortaya çıkmış ve şimdi Mac’e ulaşmıştır.

macOS Kötü Amaçlı Yazılım HZ RAT’ın Davranışı
Moonlock raporuna göre, HZ RAT kullanıcıları gözetleyebilir ve veri çalabilir, ancak yaratıcılığı ve kalıcılığı nedeniyle tam anlamıyla bir veri hırsızı olarak değerlendirilemez. Bir uzaktan erişim truva atı olarak, bu kötü amaçlı yazılım saldırgana tam uzaktan yönetici yetkileri verir.

“Kötü amaçlı yazılım ekran görüntüleri alabilir, kullanıcıların yazdığı her şeyi kaydedebilir, Google Şifre Yöneticisi’nden veri çalabilir ve kullanıcı verilerine ulaşarak WeChat ve DingTalk hesaplarını ihlal edebilir; bu uygulamalar Çin’de popülerdir,” denilmektedir raporda.

Kötü amaçlı yazılım yüklendikten sonra, daha fazla talimat almak üzere bir komut ve kontrol sunucusuyla bağlantı kurar.

Bu, saldırganın sunucusuna dosya yükleme ve çıkarma, sisteme rastgele dosyalar yazma ve uzaktan PowerShell komutları yürütme yeteneğine sahip olduğu anlamına gelir.

Yeni Mac kötü amaçlı yazılımının yayılmasında, sulama delikleri tarzı saldırılar, sahte kötü amaçlı Google reklamları ve sahte web siteleri kullanılabileceği düşünülmektedir.

Kötü amaçlı yazılım, ele geçirilen bir Mac’ten aşağıdaki bilgileri toplayabilir:

  • Yerel IP adresi
  • Bluetooth cihazlarıyla ilgili veriler
  • Wi-Fi ağları ve kablosuz ağ adaptörleriyle ilgili veriler
  • Cihazın bağlı olduğu ağ hakkında bilgi
  • Donanım özellikleri
  • Veri depolama bilgileri
  • Ele geçirilen cihazdaki uygulama listesi
  • WeChat’ten alınan bilgiler
  • DingTalk’tan kullanıcı ve organizasyon verileri
  • Google Şifre Yöneticisi’nden kullanıcı adı ve web siteleri

Kötü amaçlı yazılım, Google Şifre Yöneticisi’nden şifreleri toplamaz, ancak aktörlerin, karanlık web’den elde edilen çalınmış şifre sızıntılarını, kullanıcı adı ve diğer çıkarılan verilerle birleştirmek için kullandıkları şüphelenilmektedir.

İlginizi çekebilecek yazımız: Microsoft, Windows Çekirdeğindeki Güvenlik Açığının İstismar Edilebileceği Konusunda Uyarıyor

Bu girişimin gerçek amacı, yalnızca veri toplamak dışında bilinmemektedir. Daha da endişe verici olan, güvenlik sağlayıcılarının bu fidye yazılımını tespit edememiş olmasıdır.

MacOS Kötü Amaçlı Yazılım

Tavsiyeler

Ayrıca, Intego, OpenVPN Connect VPN uygulamasını taklit eden bir kötü amaçlı yazılım örneği keşfetti. Güvenli Liste analizi, bu kötü amaçlı yazılımın OpenVPN Connect olarak kendini tanıttığını ortaya koyuyor.

2022’de bu kötü amaçlı yazılımın Windows sürümü üzerinde yapılan bir inceleme, bu kötü amaçlı yazılım operasyonuyla bağlantılı bir dizi Çin IP adresi ve alan adı da keşfetti.

MacOS Kötü Amaçlı Yazılım

Bu kampanyaya bağlı IP’ler (Kaynak: Moonlock)
Listede yer alan IP’lerin yaklaşık %80’inin aktif ancak ulaşılamaz olduğu, geri kalan %20’sinin ise pasif olduğu belirlendi.

Mac’inizi bu ve diğer risklere karşı korumak için, yazılımları yalnızca Apple App Store gibi güvenilir kaynaklardan indirin. İşletim sisteminizi ve güvenlik yazılımınızı güncelleyin ve şüpheli iletişimlere, bağlantılara veya ek dosyalara karşı dikkatli olun.

Haber Kaynağı: Cyber Security News

İlgili Yazılar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir