“`html
Kuzey Koreli hackerlar, sahte iş teklifleri ve gizli uygulama güncellemeleri kullanarak Mac bilgisayarlara kötü amaçlı yazılım sokuyor. Apple’ın son XProtect güncellemesi bazı tehditleri engelliyor, ancak diğerleri hala bilgisayarlardan sızıyor.
Güvenlik araştırmacıları, SentinelLabs, Kuzey Kore’ye atfedilen yeni bir kötü amaçlı yazılım ailesinin Fresh FlexibleFerret adlı varyantlarını tanımladı. Bu yazılım, iş arayanları kandırarak kötü amaçlı yazılım yüklemeye teşvik eden “Bulaşıcı Mülakat” isimli kapsamlı bir kampanyanın parçası.
Apple, bu tehditlere karşı koymak için bir XProtect imza güncellemesi yayımladı ve FROSTYFERRET_UI, FRIENDLYFERRET_SECD ile MULTI_FROSTYFERRET_CMDCODES gibi çeşitli varyantları engellemeyi başardı.
XProtect, macOS için Apple’ın yerleşik kötü amaçlı yazılım tespit ve kaldırma aracıdır ve bilinen kötü yazılımları tanımlayıp engelleme üzerine tasarlanmıştır. Arka planda sessizce çalışır, düzenli güncellenen güvenlik imzaları kullanarak, dosyalar indirildiğinde veya çalıştırıldığında tehditleri tespit eder.
Geleneksel antivirüs yazılımlarından farklı olarak, XProtect sistem seviyesinde çalışır ve kullanıcı etkileşimi gerektirmeden otomatik olarak Mac’leri korur.
Bu kötü yazılım kampanyası, Aralık ve Ocak aylarında keşfedilen daha önceki DPRK’ya atfedilen tehditlerden evrim geçirdi. Saldırganlar, sahte Chrome güncellemeleri ve gizli Zoom yükleyicileri gibi yanıltıcı taktikler kullanarak macOS sistemlerini enfekte ediyor.
Malware’nın kalıcılık mekanizmaları ve veri sızdırma yöntemleri, iyi finanse edilmiş, devlet destekli bir operasyonu göstermektedir.
Kötü Yazılımın Yayılma Yolları
FlexibleFerret kötü yazılımı, esas olarak sosyal mühendislik yoluyla yayılıyor. Kurbanlar, sahte bir iş görüşmesi sırasında karşılaştıkları bir hata mesajı sonucunda, VCam veya CameraAccess gibi görünüyor fakat aslında kötü amaçlı yazılım içeren bir uygulama indirmeye ikna ediliyorlar.
Aslında, bu uygulamalar arka planda çalışan bir kötü amaçlı kalıcılık ajanı kuruyor ve hassas verileri çalmaya başlıyor. Tanımlanan bir paket, versus.pkg, InstallerAlert.app, versus.app ve yanıltıcı bir bülten olan zoom adında bir ikili içeriyor.
Çalıştırıldığında, kötü yazılım kalıcılığı sağlamak için bir başlatma ajanı kuruyor ve Dropbox aracılığıyla bir komut ve kontrol sunucusuyla iletişim kuruyor.
Apple’ın en son XProtect güncellemesi, macOS sistem dosyaları gibi gizlenmiş ana kötü yazılım bileşenlerini engelliyor. Ancak, bazı FlexibleFerret varyantları hala tespit edilemiyor, bu da tehditlerin evrim geçirdiğini gösteriyor.
Mac’inizi Koruma Yolları
Mac kullanıcıları, güvenilir olmayan kaynaklardan yazılım indirirken dikkatli olmalı ve beklenmedik yazılım yükleme istemlerine karşı şüpheci yaklaşmalıdır. Apple’ın yerleşik güvenlik önlemleri ilk savunma hattını sağlasa da, ek uç nokta güvenlik çözümleri yeni tehditleri tespit etmeye ve engellemeye yardımcı olabilir.
Malwarebytes, Sophos Home ve CleanMyMac X gibi araçlar, siber saldırılara karşı ilave koruma katmanları sunar.
“`