Microsoft, WizardUpdate olarak bilinen (UpdateAgent veya Vigram olarak da izlenir), yeni kaçırma ve kalıcı taktikleri kullanmak için güncellenen MacOS Malware'in yeni varyantlarını bulduğunu söylüyor.
Microsoft Security uzmanları buldukça, bu ayın başlarında en son varyant - muhtemelen tahrik-by indirmeler aracılığıyla dağıtılıyor ve tehdit istihbarat firması kremi, Ocak ayında Flash Installers olarak kamufle ettiğini keşfettiğinden, meşru yazılımı taklit ediyor.
İlk değişkenler, 2020 Kasım'da gözlendiğinden, sistem bilgisini yalnızca toplama ve çıkartma yeteneğine sahip olduğunda, WizardUpdate geliştiricileri tarafından birden fazla kez güncellendi.
Ekim ayındaki Microsoft Araştırmacılar tarafından toplanan örnek, şunları içeren çeşitli yükseltme ile birlikte gelir:
Bir hedefin Mac'i bulaştıktan sonra, kötü amaçlı yazılım, komut ve kontrol (C2) sunucusuna gönderilen sistem bilgilerini taramaya başlar.
Trojan, 2017'nin sonundan bu yana aktif olan ve MAC'leri enfekte etmek için Apple'ın Yara İmzalı Tabanlı Xprotect Dahili Antivirüsünden geçebildiğimi bilinen bir kötü amaçlı yazılım varyantı da dahil olmak üzere ikinci aşamada kötü amaçlı yazılım yüklerini dağıtacak.
Microsoft, "UpdateAbent, kamu bulut altyapısını ek yükler barındırmak için ek taşıma yüklerini barındırıyor ve yazıcının MAC cihazlarında çalıştırılmasını sağlamak için tasarlanan GATEKEPER'leri kullanarak tasarlanan," indirilen dosyaların karantina özniteliğini kaldırarak tasarlanmıştır.
"Ayrıca, etkilenen cihazda klasörler oluşturmak için mevcut kullanıcı izinlerini de kullanır. Plistbuddy'i, plists oluşturmak ve değişiklik yapmak için plists oluşturmak ve değiştirmek için kullanır."
WizardUpdate'nin geliştiricileri ayrıca, enfekte olan klasörleri, dosyaları ve enfekte olmuş MAC'lerde oluşturulan diğer eserleri silerek izlerini kapsayacak olan en son varyantlarda kaçınma özelliklerini de içeriyordu.
Sihirbaz tarafından sağlanan ikinci aşama yüklerinden biri olan ADLOAD, SOGARDUPDATE tarafından TESLİM EDİLDİ, ayrıca Arama Motoru Sonuçlarını Keşfet Etmek ve Mother-In-Mother (MITM) Web Proxy kullanarak parasal kazançlar için reklamları web sayfalarına enjekte eder.
Aynı zamanda, patlamacılar ve lansmanlar ekleyerek ve bazı durumlarda, kullanıcı Cronjobs'un her iki buçuk saatte bir çalışmasını planladı.
ADLOAD Kampanyalarını 2020'den bu yana aktif olarak izlerken, Wizardupdate de ilk görüldüğü zaman, Sentinelone Tehditi Araştırmacı Phil Stokes, yüzlerce örneği buldu, yaklaşık 150'sini Apple'ın yerleşik antivirüsü tarafından eşsiz ve tespit edilemez.
Stoklar tarafından tespit edilen numunelerin çoğu, geçerli Apple tarafından verilen geliştirici kimliği sertifikaları ile imzalandı, diğerleri varsayılan kapı bekçisi ayarları altında çalışacak şekilde not edildi.
Her ne kadar WizardUpdate ve ADLOAD şimdi yalnızca adware ve Bundleware'i ikincil yükler olarak dağıtmakla birlikte, herhangi bir zamanda silecekler veya ransomware gibi daha tehlikeli kötü amaçlı yazılımlara geçebilirler.
Craig Federighi, "Bugün, Mac'te kabul edilebilir bulamadığımız ve IOS'tan çok daha kötü bir kötü amaçlı yazılım var" dedi. Apple deneme.
Devlet destekli bilgisayar korsanları özel kötü amaçlı yazılımlı telcot'u ihlal etti
Fontonlake Kötü Amaçlı Yazılım, Linux sistemlerini truva haline getirilmiş yardımcı programlar üzerinden bulaştırır.
Bu 30 $ kurs, Apple Sertifikalı bir MacOS uzmanı olmanıza yardımcı olur
Yeni UEFI Bootkit, 2012'den beri Windows aygıtlarını yedekledi
Flubot Android Malware şimdi sahte güvenlik güncellemeleri ile yayılır
Kaynak: Bleeping Computer