Yıllardır, Mac kullanıcıları Apple’ın sıkı notlandırma süreci sayesinde bir güvenlik hissi yaşıyor. Ancak, Jamf Threat Labs'tan Apple cihaz güvenliği uzmanlarının yaptığı yeni bir rapor, bilgisayar korsanlarının bu resmi onay mühürünü kendi kötü niyetli araçları için elde etmenin yollarını bulduğunu gösteriyor.

Araştırmacılar, MacSync Stealer adlı bir yazılımı takip ederken bu hileyi tespit edebildi. Geçmişte, saldırganlar kullanıcıları Mac’in Terminal’ine dosyaları sürüklemeye veya enfeksiyonu tetiklemek için kodlu komutları yapıştırmaya zorlayan hantal hileler kullanıyorlardı. Şimdi keşfedilen versiyon, bu manuel adımları tamamen ortadan kaldırdığı için çok daha tehlikeli.

Dijital Koruyucuyu Aşmak

Bu son versiyon, ‘zk-call’ adlı bir sohbet uygulaması için zararsız bir yükleyici olarak gizleniyor. Bu özel saldırıyı bu kadar sinsi kılan şey, kod imzalı ve notlandırılmış olması. Bu, bilgisayar korsanlarının yazılımın meşru olduğunu düşündürmek için sahte bir Geliştirici Takım Kimliği (GNJLS3UYZ4) kullandıkları anlamına geliyor.

Jamf’ın blog yazısına göre, Hackread.com ile paylaşılan dosya, ağır ve profesyonel bir uygulama izlenimi vermek için büyük, işe yaramaz PDF'lerle ‘şişirilmiş’.

Daha fazla inceleme, yükleyiciyi açtığınızda (özellikle zk-call-messenger-installer-3.9.2-lts.dmg adlı dosya) arka planda gizli bir scriptin çalışmaya başladığını ortaya koydu. Ancak hemen sorun çıkarmaya başlamıyor. Araştırmacılar, dağıtımda bu değişimin, kötü amaçlı yazılımların tespit edilmekten kaçınmak için daha çok bir uyku ajanı gibi davrandığı daha geniş bir eğilimi yansıttığını belirtti.

Yükleyici detaylarında yükleme talimatları ve notlandırma görünür (Kaynak: Jamf Threat Labs)

Sabırlı Bir Hırsız

İlginç olan, MacSync Stealer’ın oldukça sabırlı olması. Kendi aktivitesini takip etmek için UserSyncWorker.log adlı bir günlük dosyası oluşturuyor. Eğer son bir saat içinde (3,600 saniye) zaten çalıştığını görürse, sadece uykuya geçiyor. Bu ‘kısıtlama’, güvenlik yazılımlarının sürekli, şüpheli bir veri akışını fark etmesini çok daha zor hale getiriyor.

Son hedef, gizliliğinize doğrudan bir saldırı çünkü yazılım, özellikle login.keychain-db dosyasını avlıyor. Bu, Mac’in kaydettiğiniz her şifreyi sakladığı ana dosyadır. İçeri girmek için, sistem şifrenizi istemek üzere sahte bir açılır pencere tetikleyebilir. Bu nedenle, yeni bir uygulama yükledikten hemen sonra şifreniz için rastgele bir talep alırsanız, bu büyük bir kırmızı bayraktır.

Apple, bu saldırganlar tarafından kullanılan dijital sertifikayı iptal etti, ancak olay, notlandırılmış bir uygulamanın her zaman güvenli olmadığını gösteriyor.