Gizemli kötü amaçlı yazılım 30.000 Mac bilgisayara bulaşıyor

0
16

Güvenlik firması Red Canary, Silver Sparrow olarak bilinen kötü amaçlı yazılımın amacı henüz gerçek bir yük sağlamadığı için bilinmemektedir.

Resim: kaptnali, Getty Images / iStockphoto

Neredeyse 30.000 Mac bilgisayara bulaşan bir kötü amaçlı yazılım, amacı ve nihai yüküyle ilgili soruları tetikledi.

SEE: Güvenlik Bilinci ve Eğitimi politikası (TechRepublic Premium)

Red Canary’deki araştırmacılar tarafından Silver Sparrow olarak adlandırılan kötü amaçlı yazılım Malwarebytes’ten alınan verilere dayanarak, şimdiye kadar ABD, İngiltere, Kanada, Fransa ve Almanya dahil olmak üzere 153 ülkede 29.139 macOS makinesine indi. Kötü amaçlı yazılım henüz kötü niyetli bir şey yapmadığı için sorular ortaya çıktı, yani yük teslimi gözlemlenmedi ve amacına ilişkin bir sonuç çıkmadı.

Silver Sparrow’un, şirketin Intel mimarisinden uzaklaşmak için geçen yılın sonlarında tanıttığı yeni Apple M1 çipi tarafından desteklenen Mac’ler için tasarlanmış bir kötü amaçlı yazılım türü olduğu biliniyor. Ars Technica’ya göre bu, yeni çipleri hedefleyen bilinen ikinci macOS kötü amaçlı yazılım parçası yapıyor. Eksik yük parçası ve diğer sorularla birlikte kötü amaçlı yazılım, Red Canary araştırmacıları arasında endişelere yol açtı.

“Silver Sparrow’un ek kötü amaçlı yükler sağladığını henüz gözlemlememiş olsak da, ileriye dönük M1 çip uyumluluğu, küresel erişim, nispeten yüksek bulaşma oranı ve operasyonel olgunluğu, Silver Sparrow’un oldukça ciddi bir tehdit olduğunu ve potansiyel olarak etkili olacak şekilde benzersiz bir şekilde konumlandırıldığını gösteriyor. Red Canary, geçen Perşembe yayınlanan bir blog gönderisinde, “bir an önce yüklenme durumu” dedi.

Red Canary, analizi için araştırmacılarının kötü amaçlı yazılımın iki sürümünü ortaya çıkardığını söyledi: Biri yalnızca Intel x86_64 mimarisi için derlendi ve ikincisi hem Intel x86_64 hem de M1 ARM64 mimarisi için derlendi. Şimdiye kadar, Silver Sparrow’un ikili kodunun pek bir işe yaramadığı görülüyor ve Red Canary’den “seyirci ikili dosyaları” olarak bahsetmesine neden oluyor.

Kötü amaçlı yazılım iki farklı pakette dağıtılır: updater.pkg ve update.pkg. Her ikisi de yürütme için aynı teknikleri kullanır, tek fark ikili kodun derlenmesidir. Updater.pkg için ikili dosya, diğer içerikler için bir yer tutucu gibi görünüyor. Şimdilik, komut dosyasını çalıştırmak sadece şu mesajı görüntülüyor: “Merhaba, Dünya!” Benzer şekilde, update.pkg için ikili dosyanın çalıştırılması, “Başardınız!” Mesajını görüntüler.

Red Canary araştırmacılarına göre, Silver Sparrow’un diğer benzersiz yönü, yükleyici paketlerinin, kötü amaçlı yazılımlar tarafından kullanılan bu taktiği ilk kez gördüklerinde, şüpheli komutları çalıştırmak için macOS Installer JavaScript API’sinden yararlanmalarıdır. Silver Sparrow şimdilik zararsız görünse de arkasındaki insanlar kötü niyetli bir saldırının temelini atıyor olabilir.

Red Canary blog gönderisinde “Bu kötü amaçlı yazılımın nihai hedefi bir gizemdir” dedi. “Bir yük zaten teslim edildiyse ve kaldırıldıysa veya düşmanın dağıtım için gelecekte bir zaman çizelgesi varsa, kötü amaçlı yazılım tarafından hangi yükün dağıtılacağını kesin olarak bilmemizin hiçbir yolu yok. Malwarebytes tarafından bizimle paylaşılan verilere göre, neredeyse Etkilenen 30.000 ana bilgisayar, sonraki veya son yükü indirmedi. “

Red Canary, Mac kullanıcılarının Silver Sparrow’un ve diğer tehditlerin varlığını kontrol etmesine yardımcı olmak için aşağıdaki tavsiyeleri sunar:

Aşağıdakileri içeren bir komut satırıyla birlikte PlistBuddy yürütülüyor gibi görünen bir işlem arayın: LaunchAgents ve RunAtLoad ve true. Bu analitik, LaunchAgent kalıcılığını oluşturan birden çok macOS kötü amaçlı yazılım ailesinin bulunmasına yardımcı olur. Sqlite3’ün LSQuarantine içeren bir komut satırı ile birlikte yürütüldüğü görülen bir işlemi arayın. Bu analitik, indirilen dosyalar için meta verileri manipüle eden veya arayan birden fazla macOS kötü amaçlı yazılım ailesinin bulunmasına yardımcı olur. S3.amazonaws.com’u içeren bir komut satırı ile birlikte curl yürütülüyor gibi görünen bir işlem arayın. Bu analiz, dağıtım için S3 kovalarını kullanan birden çok macOS kötü amaçlı yazılım ailesinin bulunmasına yardımcı olur.

Siber Güvenlik Insider Bülteni

En son siber güvenlik haberleri, çözümleri ve en iyi uygulamalardan haberdar olarak kuruluşunuzun BT güvenlik savunmasını güçlendirin. Salı ve Perşembe günleri teslim edilir

Bugün kayıt olun

Ayrıca bakın

CEVAP VER

Lütfen yorumunuzu giriniz!
Lütfen isminizi buraya giriniz