- MacOS platformuna yönelik çalışan çok sayıda bilgi hırsızı, güvenlik şirketlerinin yeni değişkenleri sık sık takip edip raporladığı durumlarda bile tespit önlemlerinden kaçabiliyor.
- SentinelOne tarafından hazırlanan bir rapor, MacOS’un yerleşik kötü amaçlı yazılımdan koruma sistemi XProtect’ten kaçabilen üç önemli kötü amaçlı yazılım örneği aracılığıyla bu sorunu gözler önüne serdi.
- KeySteal, Atomic Stealer ve JaskaGo tüm önlem ve yazılım güncellemelerine rağmen güvenlik duvarlarını aşabilen kötü amaçlı yazılımlar arasında öne çıktı.
MacOS platformuna yönelik çalışan çok sayıda bilgi hırsızı, güvenlik şirketlerinin yeni değişkenleri sık sık takip edip raporladığı durumlarda bile tespit önlemlerinden kaçabiliyor. SentinelOne tarafından hazırlanan bir rapor, MacOS’un yerleşik kötü amaçlı yazılımdan koruma sistemi XProtect’ten kaçabilen üç önemli kötü amaçlı yazılım örneği aracılığıyla bu sorunu gözler önüne serdi. XProtect, indirilen dosyaları ve uygulamaları, arka planda çalışarak bilinen kötü amaçlı yazılım imzalarına karşı tarayan ve koruyan bir sistem.
Apple’ın, XProtect’in kötü amaçlı yazılım veritabanını sürekli güncellemesine rağmen SentinelOne, kötü amaçlı yazılım yazarlarının hızlı tepkisi sayesinde bilgi hırsızlarının neredeyse anında bu güncellemeleri atlattığını söylüyor.
XProtect’ti aşmak
SentinelOne’ın raporundaki ilk örnek, ilk olarak 2021’de belgelenen ve o zamandan beri önemli ölçüde gelişen bir kötü amaçlı yazılım olan KeySteal’di. KeySteal şu anda, “UnixProject” veya “ChatGPT” olarak adlandırılan ve Xcode tarafından oluşturulmuş bir Mach-O ikili dosyası olarak dağıtılıyor. Bu casus yazılım, sistemde kalıcılık sağlamaya ve Anahtar Zinciri bilgilerini çalmaya çalışıyor. Anahtar Zinciri, kimlik bilgileri, özel anahtarlar, sertifikalar ve notlar için güvenli bir depolama görevi gören MacOS’un yerel parola yönetimi sistemine deniyor.
Apple, KeySteal imzasını en son Şubat 2023’te güncelledi. Ancak kötü amaçlı yazılım o zamandan bu yana XProtect ve çoğu AV motoru tarafından tespit edilemeyecek kadar değişiklik yaptı. Bu kötü amaçlı yazılımın şu anki tek zayıf noktası, sabit kodlanmış komut ve kontrol (C2) adreslerini kullanması. Ancak SentinelOne, KeySteal’in yaratıcılarının geliştireceği bir rotasyon mekanizması uygulamasının yalnızca zaman meselesi olduğuna inanıyor.
XProtect’ten kaçışta örnek olarak öne çıkan bir sonraki kötü amaçlı yazılım, ilk kez Mayıs 2023’te SentinelOne tarafından Go tabanlı yeni bir hırsız olarak belgelenen ve Kasım 2023’te Malwarebytes tarafından yeniden ziyaret edilen Atomic Stealer. Apple, XProtect’in imzalarını ve algılama kurallarını en son bu ay güncelledi. Ancak SentinelOne, tespitten kaçabilen C++ varyantlarını zaten gözlemlediğini bildirdi. Atomic Stealer’ın son sürümü, kod gizleme ve veri çalma mantığını açığa çıkaran VM karşıtı kontroller içeren ve Terminal’in onunla birlikte yürütülmesini önleyen açık metin AppleScript ile değiştirdi.
Rapordaki üçüncü örnek, “Gary Stealer” veya “JaskaGo” olarak da bilinen ve ilk kez 9 Eylül 2023’te görülen CherryPie. Go tabanlı çapraz platformlu kötü amaçlı yazılım, anti-analiz ve sanal makine algılayan, Wails’i kaplayan ve geçici imzalarla yönetici ayrıcalıklarını kullanarak Gatekeeper’ı devre dışı bırakan bir sistem içeriyor.
İyi haber şu ki Apple, CherryPie için XProtect imzalarını Aralık 2023’ün başlarında güncelledi ve bu imzalar, yeni yinelemelerde bile iyi çalışıyor. Ancak kötü amaçlı yazılım tespitleri, Virus Total’de pek başarılı olmuyor. Yukarıda anlatılanlardan açıkça görülüyor ki kötü amaçlı yazılımların tespit edilmekten kaçınmak amacıyla sürekli olarak geliştirilmesi, hem kullanıcılar hem de işletim sistemi satıcıları için riskli bir durum.
Güvenlik için yalnızca statik algılamaya güvenmek yetersiz ve potansiyel olarak riskli. Daha sağlam bir yaklaşım, gelişmiş dinamik veya buluşsal analiz yetenekleriyle donatılmış antivirüs yazılımını içermeli. Ayrıca ağ trafiğinin dikkatle izlenmesi, güvenlik duvarlarının uygulanması ve en son güvenlik güncellemelerinin tutarlı yapılması, kapsamlı bir siber güvenlik stratejisinin temel bileşeni.
Derleyen: Fatma Ebrar Tuncel
