MacBook sahipleri için kötü haber. Karşılarında sinsi bir düşman var. “MetaStealer” adı verilen kötü amaçlı yazılım, veri hırsızlığı yaparak başlarına bela oluyor. Bilgisayar korsanları meşru uygulama yükleyicileri gibi görünmeyi de başaran bir yazılım tasarladı. Tekniklerle işletmelere saldırmak ve MacBook’lardan veri çalmak için kullanılıyor.
MacBook sahipleri, bilgisayar korsanları MetaStealer’lara karşı dikkatli olmalı!
MacOS’a yönelik kötü amaçlı yazılım saldırıları sorun olmaya devam ediyor. Peki neden saldırılar bu kadar zarar verebiliyor. Ne yazık ki saldırıların başarılı olmasının arkasında kullanıcıların yürütülebilir dosyaları açmaya zorlaması bulunuyor. Bu saldırıları, macOS bilgi hırsızları “MetaStealer” olarak adlandırılıyor. Bu hırsız yazılımın nasıl çalıştığını araştırmacılar çözdü. Ayrıntılarıyla anlatan bir rapor yayınladı. Bu raporda bu hırsız yazılımın, kullanıcıları disk görüntülerini açmaları için nasıl kandırdığını sistemin çalıştığını anlatıyor.
Ne yazık ki MetaStealer’lar isimlendirme konusunda çok profesyonel. Yükü tutan disk görüntü dosyasına genellikle kullanıcılarının ilgisini çekebilecek isimler veriliyor. Örnekler arasında neler yok ki! Sunum adlarından, yemekler ve ingilizce çevirileri içeren konsept menülere kadar daha neler var neler. Hatta daha da ileri gittiler. “Ödemeciler için sözleşme ve gizlilik sözleşmesi Lucasprop ve Photoshop gibi Adobe ürünlerinin kurulumcuların isimlerini bile taklit ediyorlar.
Aslında bir kurulum gerçekleştirme çabası her geçen gün çeşitli yollarla bilgisayar korsanları için daha da zorlaşıyor. Disk görüntüsü, veri yükünün ötesinde var olacak minimum içeriği içeriyor. Bundan dolayı dosya aynı zamanda bir Apple Geliştirici Kimliği dizesi içermiyor.
Bunlar ekstra engeller oluşturuyor. Yani saldırganların olası kurbanı Gatekeeper ve OCSP’yi geçersiz kılmaya bir şekilde ikna etmesi gerekiyor. Toplanan örneklerin tümü tek mimarili Intel x86_64 ikili dosyalarıdır. Dolayısıyla bunlar doğrudan Intel Mac’lerde kullanılabilse de, Apple Silicon Mac’lerde çalıştırmak için Rosetta’yı kullanmaları gerekiyor.
Kullanıcıların başkaları tarafından gönderilen veya resmi olmayan kaynaklardan indirilen şüpheli dosyaları açarken dikkatli olması gerekiyor. Apple halihazırda bazı koruyucu önlemler uygulamaya koydu. Apple, XProtect x2170 güncellemesinin bir parçasını MetaStealer’ın bazı sürümlerini etkileyen bir algılama imzası içerecek şekilde tasarladı.
