macOS işletim sistemini maksat alan XCSSET isimli makûs hedefli yazılım, araştırmacılara bakılırsa Google Chrome ve Telegram üzere uygulamalardan data çalmak gayesiyle çeşitli yeni özellikler kazandı. Saldırganlar bu biçimdece daha fazla uygulamadan bilgi sızdırmayı planlıyor.
XCSSET isimli ziyanlı yazılım, geçtiğimiz sene Ağustos ayında Trend Micro araştırmacıları tarafınca tespit edilmişti. Xcode üzerinde geliştirmeler yapan programcıları gaye alan bu zararlının asıl hedefi ise geliştirilen projelere makûs emelli kodlarını dahil etmek. Trend Micro’nun yazdığı rapora göre GitHub üzerinde bilmeden XCSSET tarafınca ziyanlı kodlar dahil edilen birfazlaca proje bulunuyor. Bu niçinle XCSSET’e bir nevi “supply chain attack” yani tedarik zinciri akınında kullanma kanısıyla yazılmış makus gayeli program diyebiliriz.
Ayrıyeten bu macOS zararlısı Safari tarayıcısında kullanılan çerezleri çalmak, web sitelerine berbat maksatlı JavaScript kodları eklemek; Skype, Telegram, WeChat, Evernote, Opera, Notlar üzere uygulamalardan bilgi sızdırmak, kullanıcıların evraklarını şifreleyip fidye istemek üzere sayısız yeteneğe sahip.
çabucak hemen bu Nisan ayının başında bir güncelleme daha alan XCSSET, artık M1 yonga setli Mac’lerde de çalışabilir hale geldi. Apple güvenlik siyasetlerini rahatlıkla atlatabilen bu ziyanlı yazılım macOS Big Sur 11‘i de destekliyor.
Trend Micro’ya bakılırsa XCSSET yeni sistemlerde süreksiz bir imza sayesinde C2 yani komuta denetim sunucusundan kendi ziyanlı yükünü indirirken, macOS’un 10.15 yahut epey daha düşük sürüme sahip olan versiyonlarda ise zararlıyı indirmek için sistemin güvenlik açıklarını kullanıyor. Güvenlik devinin yayınladığı yeni bir rapora bakılırsayse ziyanlı yazılımın Telegram datalarını sıkıştırmak için makus maksatlı bir AppleScript‘ini çalıştırdığı görüldü.
Telegram bilgilerini ZIP’leyen AppleScript kodu. – Fotoğraf Kaynağı: Trend Micro
Google Chrome bilgilerini çalmak içinse kullanıcılardan düzmece bir pencere sayesinde root müsaadesi istiyor ve root haklarını kullanarak güvenlik anahtarını alıyor. sonrasındasında aldığı bu anahtar sayesinde web tarayıcısında depolanan şifreleri çalıp saldırganlara iletiyor.
Saldırganların son vakit içinderda macOS sistemlere çok fazla ilgi duyması ve bu şekil gelişmiş berbat emelli yazılımlar geliştirmeleri macOS sistemlere virüs bulaşmaz halindeki gerçek olmayan kent efsanelerinin sonunu getirecek üzere duruyor.
XCSSET isimli ziyanlı yazılım, geçtiğimiz sene Ağustos ayında Trend Micro araştırmacıları tarafınca tespit edilmişti. Xcode üzerinde geliştirmeler yapan programcıları gaye alan bu zararlının asıl hedefi ise geliştirilen projelere makûs emelli kodlarını dahil etmek. Trend Micro’nun yazdığı rapora göre GitHub üzerinde bilmeden XCSSET tarafınca ziyanlı kodlar dahil edilen birfazlaca proje bulunuyor. Bu niçinle XCSSET’e bir nevi “supply chain attack” yani tedarik zinciri akınında kullanma kanısıyla yazılmış makus gayeli program diyebiliriz.
Ayrıyeten bu macOS zararlısı Safari tarayıcısında kullanılan çerezleri çalmak, web sitelerine berbat maksatlı JavaScript kodları eklemek; Skype, Telegram, WeChat, Evernote, Opera, Notlar üzere uygulamalardan bilgi sızdırmak, kullanıcıların evraklarını şifreleyip fidye istemek üzere sayısız yeteneğe sahip.
çabucak hemen bu Nisan ayının başında bir güncelleme daha alan XCSSET, artık M1 yonga setli Mac’lerde de çalışabilir hale geldi. Apple güvenlik siyasetlerini rahatlıkla atlatabilen bu ziyanlı yazılım macOS Big Sur 11‘i de destekliyor.
Trend Micro’ya bakılırsa XCSSET yeni sistemlerde süreksiz bir imza sayesinde C2 yani komuta denetim sunucusundan kendi ziyanlı yükünü indirirken, macOS’un 10.15 yahut epey daha düşük sürüme sahip olan versiyonlarda ise zararlıyı indirmek için sistemin güvenlik açıklarını kullanıyor. Güvenlik devinin yayınladığı yeni bir rapora bakılırsayse ziyanlı yazılımın Telegram datalarını sıkıştırmak için makus maksatlı bir AppleScript‘ini çalıştırdığı görüldü.
Telegram bilgilerini ZIP’leyen AppleScript kodu. – Fotoğraf Kaynağı: Trend Micro
Google Chrome bilgilerini çalmak içinse kullanıcılardan düzmece bir pencere sayesinde root müsaadesi istiyor ve root haklarını kullanarak güvenlik anahtarını alıyor. sonrasındasında aldığı bu anahtar sayesinde web tarayıcısında depolanan şifreleri çalıp saldırganlara iletiyor.
Saldırganların son vakit içinderda macOS sistemlere çok fazla ilgi duyması ve bu şekil gelişmiş berbat emelli yazılımlar geliştirmeleri macOS sistemlere virüs bulaşmaz halindeki gerçek olmayan kent efsanelerinin sonunu getirecek üzere duruyor.