ESET, operatörlerle iletişime geçmek için bulut depolama hizmetlerini ve dizin isimleri olarak da ayların isimlerini kullandığı için söz konusu kötü amaçlı yazılıma CloudMensis adını verdi.
Bu kötü amaçlı macOS yazılımı, komuta kontrol kanalı olarak bulut depolamayı kullanıyor. Ploud, Yandex Disk ve Dropbox olmak üzere üç farklı hizmet sağlayıcısını da destekliyor.
Yazılım gizliliği ihlal edilmiş Mac’lerden belgeleri, tuş vuruşlarını ve ekran görüntülerini dışarı sızdırmak da dahil olmak üzere 39 adet komut verebiliyor. Kullanılan bulut depolama hizmetlerinden alınan meta veriler, bu saldırının ilk kez 4 Şubat 2022’de bir Mac’in gizliliğini ihlal ettiğini gösteriyor.
CloudMensis dağıtımının sınırlı sayıda olması da hedeflenmiş bir şeye işaret ediyor.
Ne Yaptığını Görüyorum
CloudMensis Mac kullanıcıları için bir tehdit. Aynı zamanda dağıtımın sınırlı sayıda olması hedeflenmiş bir operasyonu gösteriyor. ESET’e göre bu kötü amaçlı yazılım ailesinin operatörleri, CloudMensis’i ilgi duydukları belirli hedeflere dağıtıyor.
MacOS önlemlerini atlatmak için güvenlik açıklarının kullanılması da bir sebep. Böylece yazılım operatörlerinin casusluk operasyonlarından alınacak başarıyı arttırmak için aktif olarak çaba harcadıklarını gösteriyor.
Araştırma, bu grubun açıklanmayan güvenlik açıklarını da kullanmadığını ortaya koydu. Bu yüzden, en azından önlemlerin ihlal edilmesinden kaçınmak için güncel bir Mac kullanmanız tavsiye edilir.
Bu yazılımı inceleyen ESET araştırmacısı Marc-Etienne Léveillé durumu şu şekilde açıkladı: ‘CloudMensis’in ilk başta nasıl dağıtıldığını ve kimlerin hedef alındığını halen bilmiyoruz. Kodun genel kalitesi ve bir gizleme yönteminin bulunmuyor.
Böylece yazılımın sahipleri Mac geliştirme konusunda pek de bilgili değiller. Yine de bu yazılımı çok güçlü bir araç yapmak için çok fazla kaynak kullanıldığı görülüyor.
Ekran Görüntülerini, E-posta Eklerini ve Hassas Verileri Hedefliyor
Yazılım kod yürütme ve yönetici ayrıcalıkları elde eder. Bundan sonra daha fazla özelliğe sahip ikinci aşamayı bir bulut depolama hizmetinden ele geçirerek ilk aşama kötü amaçlı yazılımı çalıştırıyor.
Bu ikinci aşama, gizliliği ihlal edilmiş Mac’ten bilgi toplamak için birçok özelliğe sahip daha büyük bir bileşeni temsil ediyor.
Saldırganlar burada açıkça belgeleri, ekran görüntülerini, e-posta eklerini ve diğer hassas verileri dışarı çıkarmayı amaçlıyor. Şu anda mevcut 39 komut bulunuyor.
CloudMensis, hem operatörlerinden gelen komutları almak hem de dosyaları dışarı çıkarmak için bulut depolamayı kullanıyor.
Pcloud, Yandex Disk ve Dropbox olmak üzere 3 farklı hizmet sağlayıcısını destekliyor. İncelenen örnekte yer alan yapılandırma, pCloud ve Yandex Disk’e yönelik kimlik doğrulama belirteçleri içeriyor.
Kullanılan bulut depolama hizmetlerinden alınan meta veriler, 4 şubattan sonra ilginç detaylar veriyor.
Apple, cihazlarında bu yazılımdan etkilenmemek için Lockdown Mode’un ön çalışmalarını gerçekleştiriyor.
Diğer haberlerimiz için buraya tıklayabilirsiniz.
