Siber güvenlik şirketi SentinelOne’un yeni bir raporu, XLoader kötü amaçlı yazılımının nasıl geliştiğini gösteriyor. Bu bilgi hırsızı kötü amaçlı yazılım 2015’ten beri macOS’u hedef alıyor ancak yakın zamanda güncellendi. Artık bir Office uygulaması gibi davranarak kullanıcıların makinelerine bulaşabiliyor ve panolarından ve tarayıcılarından bilgi çalabiliyor
XLoader nedir ve nasıl güncellendi?
XLoader, ilk olarak 2021’de SentinelOne tarafından bildirilen bir bilgi hırsızı ve keylogger kötü amaçlı yazılımıdır. Ancak kötü amaçlı yazılım, 2015 ile 2021 yılları arasında aktif olan, bilgi çalan kötü amaçlı yazılım ve keylogger Formbook’un kaynak kodundan geliştirildi. Formbook yalnızca Microsoft Windows işletim sistemlerini hedeflerken XLoader, Windows ve macOS’u hedeflemeye başladı.
XLoader’ın ilk sürümlerinin başarıyla yürütülmesi için Java Runtime Environment’a ihtiyaç vardı. Apple, JRE’yi yıllar önce macOS’ta yayınlamayı bıraktığından beri, diğer kötü amaçlı yazılımlara göre daha az etkili oldu; ancak macOS’taki birçok kullanıcı hala farklı amaçlar için JRE’ye ihtiyaç duyuyor ve JRE’yi sistemlerine yüklemiş durumda.
SentinelOne araştırmacıları Dinesh Devadoss ve Phil Stokes, XLoader’ın Java bağımlılıkları olmadan yeni bir biçimde geri döndüğünü bildirdi. Yeni kod, C ve Objective C programlama dillerinde yazılmış ve “Mait Jakhu”nun Apple geliştirici imzasıyla imzalanmış
Şekil A
Programın imza tarihi 17 Temmuz 2023 görünüyor ancak daha sonra Apple tarafından iptal edildi. Bu durum, bir kullanıcı dosyayı Mac’te çalıştırmayı denediğinde işletim sisteminin bu konuda bir uyarı göstereceği ve dosyayı çalıştırmayacağı anlamına geliyor.
Şekil B
XLoader’ın yürütülmesi ve işlevleri
XLoader kötü amaçlı yazılımı, Windows ve Mac’teki birçok tarayıcıdan şifre çalma yeteneğine sahip, ancak Mac sürümü, Google Chrome ve Mozilla Firefox’tan şifre çalmak ve bilgisayarın panosundaki içeriği çalmakla sınırlı. Hata ayıklama önleme yetenekleri var ve otomatik güvenlik çözümleri tarafından analiz edilmesini önlemek için uyku komutlarını kullanıyor.
XLoader başlatıldığında, yazılımın çalışmadığını belirten bir hata gösterirken, zararlı kodu sessizce çalıştırıyor ve arka planda kalıcı olmak için yazılım kuruyor.
Kötü amaçlı yazılım, kullanıcının ana dizininde gizli bir klasör oluşturuyor ve hem klasör adı hem de uygulama için rastgele adlar kullanarak bu klasörün içinde yürütülebilir bir dosya oluşturuyot. Bir LaunchAgent da aynı klasöre yükleniyor ve silinmeye karşı kalıcı olmak için kullanılıyor.
XLoader daha sonra kötü amaçlı yazılımla ilgisi olmayan yaklaşık 200 sunucuya sahte ağ çağrıları göndererek gerçek komutu ve kontrol sunucusunu gizlemeye çalışıyor.
XLoader nasıl dağıtılır?
SentinelOne tarafından keşfedilen kötü amaçlı yazılım örnekleri, OfficeNote.app olarak adlandırılıyor ve Microsoft Word’ü taklit eden bir simge göstererek Office uygulamaları gibi davranıyor. XLoader, OfficeNote.dmg adlı standart bir Apple disk görüntüsü olarak sunuluyor.
Araştırmacılar, yeni XLoader kötü amaçlı yazılım örneğinin Temmuz 2023 boyunca birden fazla gönderiminin, gönderilen dosyalar üzerinde birden fazla antivirüs motorunu çalıştırmaya adanmış bir sistem olan VirusTotal platformunda ortaya çıktığını belirtti. Bu, kötü amaçlı yazılımın internet ortamında yaygın olarak dağıtıldığına işaret ediyor.
Yeni XLoader’ın reklamı siber suçluların yer altı forumlarında Mac sürümü için ayda 199 ABD doları veya üç ayda bir 299 ABD doları karşılığında tanıtılıyor; Windows sürümü ise ayda 59 ABD doları veya üç ayda bir 129 ABD dolarından daha ucuz bir fiyata satılıyor.
XLoader müşterilerinin erişebildiği kontrol paneli, siber suçlulara bu panelin işlevleri ve kullanım kolaylığı hakkında fikir vermek amacıyla yer altı forumlarında ekran görüntüsü olarak gösteriliyor.
İşletmenizi bu XLoader kötü amaçlı yazılım tehdidinden nasıl koruyabilirsiniz?
Apple disk görüntüsünün kullanıcılara teslim edilme şekli bilinmiyor; Bu tür dosya dağıtımının en yaygın yöntemleri e-posta tanıtımları, güvenilmeyen konumlardan doğrudan indirmeler veya sosyal medya platformları veya anlık mesajlaşma yoluyla oluyor. İşletmenizi bu XLoader kötü amaçlı yazılım tehdidinden korumak için şunları yapmanız şiddetle tavsiye ediliyor:
- Ekli tüm dosyaları ve dosya indirme bağlantılarını analiz eden güvenlik çözümlerini kullanarak e-postayı izleyin.
- Aniden çok sayıda DNS çözümleme isteği gönderen ve saniyeler içinde birçok farklı ana bilgisayar veya IP adresiyle iletişim başlatan herhangi bir uç nokta veya sunucu için ağ günlüklerini izleyin.
- XLoader gibi kötü amaçlı yazılımları önlemek ve tespit etmek için tüm uç noktalarda ve sunucularda güvenlik yazılımı çalıştırın.
- Kullanıcıların güvenilmeyen uygulama mağazalarından veya sunucularından gelen uygulamaları indirmesini ve çalıştırmasını yasaklayın.
- Yaygın güvenlik açıklarından etkilenmemek için tüm işletim sistemlerini (bu durumda özellikle macOS’u) en son sürüme güncel ve yamalanmış halde tutun.