Legit Apple ID ile İmzalanan Yeni MacOS Malware, HTTPS Trafik Üzerinde Casusluk Bulundu

Bir çok kişi Mac bilgisayar kullanıyorlarsa kötü amaçlı yazılımlardan rahatsız olma ihtimalinin çok düşük olduğunu düşünüyorlar, ama gerçekten doğru mu?
-Ne yazık ki, Hayır

McAfee Labs’e göre , Apple’ın Mac bilgisayarlarındaki kötü amaçlı yazılım saldırıları 2016 yılında% 744 oranında arttı ve araştırmacıları hala yaklaşık 460.000 Mac kötü amaçlı yazılım örneğini keşfettiler. Bu da genel olarak Mac’in kötü amaçlı yazılımlarının yalnızca küçük bir bölümünü oluşturuyor. Bugün, kontrol noktasında Zararlı Yazılım Araştırma ekibi var keşfetti onlara göre, Mac OS X tüm sürümlerini etkileyen tam belirlenemeyen Mac zararlı yazılım, yeni bir parça, VirusTotal sıfır algılamalarını vardır ve “Apple tarafından doğrulanmış geçerli bir geliştirici sertifikası (ile imzalanmış ).”

Çakışan DOK , kötü amaçlı yazılım koordine edilmiş bir e-posta phishing kampanyası yoluyla dağıtılıyor ve araştırmacılara göre, macOS kullanıcılarını hedef alan ilk büyük ölçekli kötü amaçlı yazılımdır. Kötü amaçlı yazılım, yönetici ayrıcalıkları kazanmak ve hedef sisteme yeni bir kök sertifikası yüklemek için tasarlanmıştır; bu, saldırganların SSL şifreli trafik de dahil olmak üzere tüm kurban iletişimine tam erişim sağlamasına ve kazanmasına olanak tanır.  Sadece yaklaşık üç ay önce, Malwarebytes araştırmacılar da nadir bir parça keşfetti Mac tabanlı casusluk zararlı yazılım olarak adlandırılan, meyve sineği biyomedikal araştırma merkezi bilgisayarlarda gözetlemek için kullanılan ve yıllarca fark edilmeden kalmıştır.

DOK Kötü Amaçlı Yazılım Nasıl Çalışır?
Kötü amaçlı yazılımlar, vergi iadelerinde söz konusu tutarsızlıklar ile ilgili bir mesaj olarak gizlenen bir phishing e-postası aracılığıyla dağıtılır ve kurbanları zararlı yazılım içeren ekli bir kötü amaçlı .zip dosyası çalıştırmaya zorlar.  Kötü amaçlı yazılım yazarı Apple tarafından imzalanmış geçerli bir geliştirici sertifikası kullandığı için, kötü amaçlı yazılım , Apple tarafından MacOS işletim sisteminin yerleşik güvenlik özelliği olan Gatekeeper’ı kolayca atlar . İlginç bir şekilde, DOK malware’i neredeyse tüm antivirüs ürünlerinde tespit edilememektedir.

Yüklendikten sonra, kötü amaçlı yazılım kendisini / Users / Shared / klasörüne kopyalar ve daha sonra kendini yüklemek için “loginItem” e eklenir, böylece sistem yüklendiğinde her yüklendiğinde otomatik olarak çalıştırılabilir, böylece yükünü yüklemek için tamamlanır. Kötü amaçlı yazılım daha sonra, diğer tüm pencerelerin üzerinde bir pencere oluşturur ve işletim sisteminde bir güvenlik sorununun tespit edildiğini belirten bir mesaj görüntüler ve kullanıcının şifresini girmesi gereken bir güncelleme mevcuttur.
Kurban güncellemeyi kurduktan sonra, kötü amaçlı yazılım kurbanın makinesinde yönetici ayrıcalıkları kazanır ve kurban sisteminin ağ ayarlarını değiştirerek tüm giden bağlantıların bir proxy’den geçmesine izin verir. CheckPoint araştırmacılarına
göre , “Bu ayrıcalıkları kullanarak, kötü amaçlı yazılım daha sonra, ek araçlar – TOR ve SOCAT” ı yüklemek için kullanılacak olan OS X için bir paket yöneticisi kuracaktır. “

Kötü amaçlı yazılım daha sonra virüslü Mac’e yeni bir kök sertifikası yükler, bu da saldırganın ortadaki bir adam (MiTM) saldırısını kullanarak kurbanın trafiğini engellemesini sağlar. Araştırmacılar, “Yukarıdaki tüm eylemlerin bir sonucu olarak, web’de gezinmeye çalışırken, kullanıcının web tarayıcısı önce proxy ayarları için TOR’daki saldırgan web sayfasını soracaktır.” “Kullanıcı trafiği daha sonra bir Man-in-the-Middle saldırısı gerçekleştiren ve kullanıcının sörf yapmaya çalıştığı çeşitli sitelerin kimliğine bürünen saldırgan tarafından kontrol edilen bir vekil aracılığıyla yönlendirilir. Saldırgan, kurbanın trafiğini okumakta ve herhangi bir şekilde lütfen. ” Araştırmacılara göre, hemen hemen hiçbir antivirüs, DOK OS X kötü amaçlı yazılımını tespit etmek için imza veritabanını güncelledi, çünkü kötü amaçlı yazılımlar, hedef makinelerde proxy ayarlarını değiştirdikten sonra kendini siler.

Apple, bu sorunu yalnızca kötü amaçlı yazılım yazarı tarafından kötüye kullanılmakta olan geliştirici sertifikasını iptal ederek çözebilir. Bu arada, kullanıcılara güvenilmeyen kaynaklardan gelen iletilerde veya e-postalarda bulunan bağlantılara tıklamaktan kaçınmanız ve kök şifrenizi kanıtlamadan her zaman fazladan dikkat etmeniz önerilir.

Güncelleme: Apple Dok Mac Malware Tarafından Kullanılan Belgesi İptal Ediyor

Bu hikaye arttıktan sonra, Apple konuya yanıt verdi ve güvenli HTTPS trafiği de dahil olmak üzere mağdurun iletişimine kulak misafiri olarak kullanılabilecek DOK kötü amaçlı yazılımının arkasındaki bilgisayar korsanları tarafından kullanılan meşru geliştirici sertifikasını iptal etti.  MalwareBytes bunu blog mesajında ​​şöyle doğruladı : “Apple, uygulamayı imzalamak için kullanılan sertifikayı zaten iptal etti, bu nedenle, bu noktada bu kötü amaçlı yazılımla karşılaşan herkes uygulamayı açamayacak ve bu uygulamadan etkilenmeyecek .”  Ayrıca şunları ekliyor: “Kullanıcı uygulamayı açmak için bu uyarıyı geçtiğinde, dosyanın açılmayacağı konusunda bir uyarı gösterecektir; bu, yukarıda gösterildiği gibi hiçbir belgenin açılmamış olması gerçeği için bir kapaktır.” Bunun yanı sıra Apple, bu hafta sonu, mevcut ve gelecekteki DOK-tipi kötü amaçlı yazılım saldırılarını engelleme girişiminde bulunan XProtect yerleşik kötü amaçlı yazılım önleme yazılımına yönelik bir güncellemeyi de hayata geçirdi.