Güvenlik araştırmacıları, final Cut Pro'nun kötü niyetli bir sürümüyle macOS'u hedefleyen bir kriptominasyon işlemini keşfettiler ve bu da antivirüs motorları tarafından büyük ölçüde tespit edilmedi.
Kötü niyetli varyantın Torrent üzerine dağıtıldığını ve Monero kripto para birimi için maden yapan XMRIG yardımcı programını yürüttüğünü buldular.
JAMF Tehdit Laboratuvarı ekibi bu macOS tehdidini buldu ve WTFISTHAT34698409672 adlı bir kullanıcı tarafından Pirate Körfezi üzerinde paylaşılan kötü niyetli torrentlere kadar izledi.
Kullanıcının, 2019'dan beri Adobe Photoshop ve Logic Pro X gibi diğer macOS uygulamalarını yüklediği anlaşılıyor, hepsi kripto para madenciliği için bir yük içeriyor.
Daha derin analizler, araştırmacıları, kötü amaçlı yazılımların her seferinde daha karmaşık kaçış teknikleri ekleyerek üç ana geliştirme aşamasına girdiği sonucuna yol açtı.
Özellikle, bugün güvenlik araçları, Nisan 2021'de dolaşımı durduran tehdidin ilk neslini sürekli olarak tespit ediyor.
İlk nesilden itibaren, kötü amaçlı yazılım, trafiği anonimleştirmek için komut ve kontrol (C2) iletişimi için bir I2P (Görünmez İnternet Projesi) ağ katmanı kullandı. Bu özellik, kötü amaçlı yazılımların tüm sürümlerinde devam eder.
Kötü amaçlı yazılımın ikinci nesli, Nisan 2021 ve Ekim 2021 arasında nispeten kısaca ortaya çıktı ve uygulama paketinde gizlenmiş yürütülebilir ürünler için kodlama temelini oluşturdu.
Üçüncü ve mevcut nesil Ekim 2021'de ortaya çıktı. Mayıs 2022'den itibaren vahşi doğada dağıtılan tek varyant oldu. Bu varyantın yeni bir özelliği, tespit edilmesinden kaçınmak için gündemdeki sistem işlemleri olarak kötü niyetli süreçlerini gizleyebilmesidir.
Ayrıca, en son sürüm etkinlik monitörünü sürekli olarak kontrol eden bir komut dosyası içerir ve başlatılırsa, tüm süreçlerini kullanıcının denetimlerinden gizlenmesi için derhal sonlandırır.
MacOS'un en son sürümü olan “Ventura”, kullanıcı tarafından başlatılan uygulamalardan, özellikle korsan olanlardan etkisiz olarak kötü amaçlı yazılımları gizlemek ve başlatmayı tehdit eden daha katı kod imzalama kontrolleri sunuyor.
Bu durumda, Pirates Final Cut Pro'yu kısmen değiştirerek orijinal kod imzalama sertifikasını sağlam tuttu. Bununla birlikte, Ventura yazılım içeriğinde bir değişiklik tespit ettiği için hala geçersiz kıldı.
Bununla birlikte, bu sadece meşru uygulamanın kripto para birimi madencisi değil çalışmasını engelledi, bu nedenle Apple’ın yeni güvenlik sisteminin kullanıcıyı etkili bir şekilde korumak için hala bir yolu var.
Sonuç olarak, öneri, eşler arası ağlardan korsan yazılımı indirmekten kaçınmaktır, çünkü bunlar neredeyse her zaman kötü amaçlı yazılım veya reklam yazılımı ile sürülür.
GÜNCELLEME 2/24 - Bir Apple sözcüsü, BleepingComputer'a bu özel kötü amaçlı yazılımların radarlarında olduğunu ve etkili bir şekilde engellemek için hedeflenen XProtect güncellemeleri üzerinde çalıştığını söyledi. Bu, JAMF raporunda belirtilen belirli varyantları içerir.
Bununla birlikte, bu kötü amaçlı yazılım ailesinin kapı bekçisi korumalarını atlayamadığını vurgulamak önemlidir ve bu nedenle macOS kullanıcıları için zincirlenmemiş bir tehdit oluşturmaz.
Mac App Store, Mac için yazılım almak için en güvenli yeri sağlar. Mac App Store'un dışında indirilen yazılım için Apple, kötü amaçlı yazılımları algılayarak ve çalışamayacak şekilde engelleyerek kullanıcıları korumak için Apple Notary Hizmeti ve XProtect gibi endüstri lideri teknik mekanizmaları kullanır.
Microsoft Exchange Proxyshell Kusurları Yeni Kripto Maden Saldırısı
Yeni Headcrab kötü amaçlı yazılım, Monero'ya Minero'ya 1.200 Redis Sunucusuna Enfekte
Microsoft: PostgreSQL aracılığıyla kötü amaçlı yazılım kampanyasında hacklenen Kubernetes kümeleri
Bilgisayar korsanları bir ayda 20K Github hesapları yapmak için captcha bypass kullanıyor
Purecrypter kötü amaçlı yazılım, fidye yazılımları ile govt orgs, info-starers ile vuruyor
Kaynak: Bleeping Computer