Jamf Threat Labs araştırmacıları, rutin izleme çalışmaları sırasında macOS kullanıcılarını hedef alan ve kendini meşru bir uygulama gibi gösteren tehlikeli bir zararlı yazılımın yeni bir varyantını keşfetti. Üstelik bu yeni varyant, Apple’ın sıkı güvenlik denetimlerinden geçmeyi de başarmış durumda.
Daha önceki MacSync Stealer varyantları, kullanıcıyı terminal komutları girmeye veya karmaşık işlemlere zorlarken; Swift diliyle geliştirilen bu yeni varyant, Apple tarafından dijital olarak imzalanmış ve onaylanmış (notarized) bir uygulama olarak karşımıza çıkıyor.
Zararlı yazılım, sisteme bir mesajlaşma uygulaması yükleyicisi görünümündeki bir disk görüntüsü (DMG) dosyasıyla sızıyor. Teknik incelemeler şu detayları ortaya koyuyor:
- Sessiz Kurulum: Kullanıcı uygulamayı başlattığı anda, yazılım uzak bir sunucudan şifrelenmiş bir betik (script) indiriyor ve arka planda sessizce çalıştırıyor.
- Gatekeeper Aldatmacası: Uygulama Apple imzalı olsa da, saldırganlar kullanıcıya “sağ tıkla ve aç” talimatı vererek olası güvenlik uyarılarını manuel olarak geçirtmeye çalışıyor.
- Bellek Odaklı Çalışma: Yazılım büyük ölçüde sistem belleğinde (RAM) çalışıyor ve işi bittiğinde geçici dosyaları temizleyerek arkasında minimum iz bırakıyor.
- Şişirilmiş Dosya Boyutu: Disk görüntüsü, antivirüs taramalarını yanıltmak için alakasız PDF belgeleriyle 25.5 MB gibi alışılmadık bir boyuta ulaştırılmış.
Tespit edildiği sırada VirusTotal üzerindeki pek çok güvenlik motoru tarafından tanınmayan bu yazılım, Jamf’in bildirimi üzerine Apple tarafından hızla mercek altına alındı. Zararlı yazılımın kullandığı geliştirici sertifikası Apple tarafından iptal edildi.
Araştırmacılar, MacSync Stealer’ın kendisi tamamen yeni olmasa da, tehdit aktörlerinin dağıtım yöntemlerini nasıl geliştirmeye devam ettiklerini görme adına önemli olduğunu vurguluyor.
