Ana SayfaTeknolojiMacOS Bilgi Hırsızları, XProtect Korumasını Aşabiliyor

MacOS Bilgi Hırsızları, XProtect Korumasını Aşabiliyor

Yayımlandı:

- Bu Alana Reklam Vermek İçin: bilgi@dijitaliyidir.comspot_img
  • MacOS platformuna yönelik çalışan çok sayıda bilgi hırsızı, güvenlik şirketlerinin yeni değişkenleri sık sık takip edip raporladığı durumlarda bile tespit önlemlerinden kaçabiliyor.
  • SentinelOne tarafından hazırlanan bir rapor, MacOS’un yerleşik kötü amaçlı yazılımdan koruma sistemi XProtect’ten kaçabilen üç önemli kötü amaçlı yazılım örneği aracılığıyla bu sorunu gözler önüne serdi.
  • KeySteal, Atomic Stealer ve JaskaGo tüm önlem ve yazılım güncellemelerine rağmen güvenlik duvarlarını aşabilen kötü amaçlı yazılımlar arasında öne çıktı.

MacOS platformuna yönelik çalışan çok sayıda bilgi hırsızı, güvenlik şirketlerinin yeni değişkenleri sık sık takip edip raporladığı durumlarda bile tespit önlemlerinden kaçabiliyor. SentinelOne tarafından hazırlanan bir rapor, MacOS’un yerleşik kötü amaçlı yazılımdan koruma sistemi XProtect’ten kaçabilen üç önemli kötü amaçlı yazılım örneği aracılığıyla bu sorunu gözler önüne serdi. XProtect, indirilen dosyaları ve uygulamaları, arka planda çalışarak bilinen kötü amaçlı yazılım imzalarına karşı tarayan ve koruyan bir sistem.

Apple’ın, XProtect’in kötü amaçlı yazılım veritabanını sürekli güncellemesine rağmen SentinelOne, kötü amaçlı yazılım yazarlarının hızlı tepkisi sayesinde bilgi hırsızlarının neredeyse anında bu güncellemeleri atlattığını söylüyor.

XProtect’ti aşmak

SentinelOne’ın raporundaki ilk örnek, ilk olarak 2021’de belgelenen ve o zamandan beri önemli ölçüde gelişen bir kötü amaçlı yazılım olan KeySteal’di. KeySteal şu anda, “UnixProject” veya “ChatGPT” olarak adlandırılan ve Xcode tarafından oluşturulmuş bir Mach-O ikili dosyası olarak dağıtılıyor. Bu casus yazılım, sistemde kalıcılık sağlamaya ve Anahtar Zinciri bilgilerini çalmaya çalışıyor. Anahtar Zinciri, kimlik bilgileri, özel anahtarlar, sertifikalar ve notlar için güvenli bir depolama görevi gören MacOS’un yerel parola yönetimi sistemine deniyor.

KeySteal, ChatGPT uygulaması kılığında

Apple, KeySteal imzasını en son Şubat 2023’te güncelledi. Ancak kötü amaçlı yazılım o zamandan bu yana XProtect ve çoğu AV motoru tarafından tespit edilemeyecek kadar değişiklik yaptı. Bu kötü amaçlı yazılımın şu anki tek zayıf noktası, sabit kodlanmış komut ve kontrol (C2) adreslerini kullanması. Ancak SentinelOne, KeySteal’in yaratıcılarının geliştireceği bir rotasyon mekanizması uygulamasının yalnızca zaman meselesi olduğuna inanıyor.

XProtect’ten kaçışta örnek olarak öne çıkan bir sonraki kötü amaçlı yazılım, ilk kez Mayıs 2023’te SentinelOne tarafından Go tabanlı yeni bir hırsız olarak belgelenen ve Kasım 2023’te Malwarebytes tarafından yeniden ziyaret edilen Atomic Stealer. Apple, XProtect’in imzalarını ve algılama kurallarını en son bu ay güncelledi. Ancak SentinelOne, tespitten kaçabilen C++ varyantlarını zaten gözlemlediğini bildirdi. Atomic Stealer’ın son sürümü, kod gizleme ve veri çalma mantığını açığa çıkaran VM karşıtı kontroller içeren ve Terminal’in onunla birlikte yürütülmesini önleyen açık metin AppleScript ile değiştirdi.

Terminal’in Otomatik Kapatılması

Rapordaki üçüncü örnek, “Gary Stealer” veya “JaskaGo” olarak da bilinen ve ilk kez 9 Eylül 2023’te görülen CherryPie. Go tabanlı çapraz platformlu kötü amaçlı yazılım, anti-analiz ve sanal makine algılayan, Wails’i kaplayan ve geçici imzalarla yönetici ayrıcalıklarını kullanarak Gatekeeper’ı devre dışı bırakan bir sistem içeriyor.

JaskaGo, Gatekeeper’ı (SentinelOne) devre dışı bırakmaya çalışılıyor

İyi haber şu ki Apple, CherryPie için XProtect imzalarını Aralık 2023’ün başlarında güncelledi ve bu imzalar, yeni yinelemelerde bile iyi çalışıyor. Ancak kötü amaçlı yazılım tespitleri, Virus Total’de pek başarılı olmuyor. Yukarıda anlatılanlardan açıkça görülüyor ki kötü amaçlı yazılımların tespit edilmekten kaçınmak amacıyla sürekli olarak geliştirilmesi, hem kullanıcılar hem de işletim sistemi satıcıları için riskli bir durum.

Güvenlik için yalnızca statik algılamaya güvenmek yetersiz ve potansiyel olarak riskli. Daha sağlam bir yaklaşım, gelişmiş dinamik veya buluşsal analiz yetenekleriyle donatılmış antivirüs yazılımını içermeli. Ayrıca ağ trafiğinin dikkatle izlenmesi, güvenlik duvarlarının uygulanması ve en son güvenlik güncellemelerinin tutarlı yapılması, kapsamlı bir siber güvenlik stratejisinin temel bileşeni.

Derleyen: Fatma Ebrar Tuncel

Günde sadece 1 TL'ye abone olarak tüm içeriklerimize sınırsız erişebilir ve bağımsız haberciliğe destek olabilirsiniz! Hemen Abone Ol

Son Eklenenler

Matematik Dehasından “Vibe Coding” Dersi: Tao, 27 Yıllık Kodlarını Yapay Zekâyla Diriltti

Fields Madalyalı Terence Tao, 1999'da yazdığı 24 uygulamayı yapay zekâyla birkaç saatte diriltti — ajan, orijinal koddaki iki hatayı da buldu. Tao'nun notu dersin özeti: "Görsel araca evet, kritik işe hayır."

Nolan’dan Tartışma Yaratan Çıkış: “Gençler Yapay Zekâyı Reddediyor” — Peki Öyle mi?

Odysseia'nın vizyonuna günler kala Nolan'dan tartışma yaratan tespit: "Gençler yapay zekâyı reddediyor." Peki gerçekten reddediş mi, yoksa seçici bir ilişki mi? Kültür endüstrisinin yeni fay hattı.

Neler Oluyor? – 14 Temmuz

Düzenleyiciler yapay zekâyı "sistemik" ilan etti, Grok kodlama aracının depoları buluta yüklediği ortaya çıktı, Xi Jinping ilk kez yapay zekâ kürsüsüne çıkıyor ve Nolan'dan tartışmalı çıkış. İşte bugün neler oluyor.

Grok Kodlama Aracı Hakkında Çarpıcı Analiz: “Gizlilik Anahtarı Kapalıyken Bile Depoyu Buluta Yüklüyor”

Bağımsız ağ analizi: Grok Build CLI, her oturumda 12 GB'lık depodan 5,1 GB veriyi buluta yüklüyor — model trafiği yalnızca 192 KB. Tuzak API anahtarı trafikte aynen görüldü, gizlilik anahtarı işe yaramıyor.

Buna benzer diğer içerikler

Matematik Dehasından “Vibe Coding” Dersi: Tao, 27 Yıllık Kodlarını Yapay Zekâyla Diriltti

Fields Madalyalı Terence Tao, 1999'da yazdığı 24 uygulamayı yapay zekâyla birkaç saatte diriltti — ajan, orijinal koddaki iki hatayı da buldu. Tao'nun notu dersin özeti: "Görsel araca evet, kritik işe hayır."

Nolan’dan Tartışma Yaratan Çıkış: “Gençler Yapay Zekâyı Reddediyor” — Peki Öyle mi?

Odysseia'nın vizyonuna günler kala Nolan'dan tartışma yaratan tespit: "Gençler yapay zekâyı reddediyor." Peki gerçekten reddediş mi, yoksa seçici bir ilişki mi? Kültür endüstrisinin yeni fay hattı.

Neler Oluyor? – 14 Temmuz

Düzenleyiciler yapay zekâyı "sistemik" ilan etti, Grok kodlama aracının depoları buluta yüklediği ortaya çıktı, Xi Jinping ilk kez yapay zekâ kürsüsüne çıkıyor ve Nolan'dan tartışmalı çıkış. İşte bugün neler oluyor.