Ana Sayfa Apple MacBook’larda güvenlik açığı!

MacBook’larda güvenlik açığı!

0

MetaStealer saldırganları, macOS sistemlerini kullanan işletmeleri hedef alarak sahte müşteri gibi davranıyorlar. Kurbanlara, işleriyle ilgili görünen e-postalar veya mesajlar göndererek iletişime geçiyorlar. Bu mesajlarda, kurbanlara disk imajı dosyası indirmeleri ve açmaları söyleniyor.

Gizliliğinizi kaybetmeyin: Disk imajı açarken dikkat!

Kurbanlar disk imajını açtıklarında, kötü amaçlı yazılım Mac’lerine sızıyor ve verilerini çalmaya başlıyor. Bu veriler arasında, tarayıcı geçmişi, çerezler, yer imleri, şifreler, kredi kartı bilgileri, kimlik bilgileri ve diğer hassas bilgiler bulunuyor. Kötü amaçlı yazılım bu verileri şifreleyerek saldırganların kontrol ettiği bir sunucuya gönderiyor.

Ağ geçidi koruyucusu ve engelleme zorlukları

MetaStealer saldırganları, kurbanları disk imajını açmalarına ikna etmek için birkaç zorluğu aşmak zorunda. Bunlardan biri, Apple’ın Ağ Geçidi Koruyucusu (Gatekeeper) adlı güvenlik özelliği. Bu özellik, Apple tarafından onaylanmamış veya imzalanmamış uygulamaların çalıştırılmasını engelliyor. Disk imajı dosyası, Apple tarafından onaylanmadığı için, Ağ Geçidi Koruyucusu tarafından engelleniyor.

Saldırganlar bunu aşmak için kurbanlara, Ağ Geçidi Koruyucusu’nu devre dışı bırakmalarını veya ayarlarını değiştirmelerini söylüyor. Bunu yapmak için kurbanların Sistem Tercihleri’ne girip Güvenlik ve Gizlilik bölümündeki Genel sekmesindeki “Herhangi bir yerden” seçeneğini işaretlemeleri gerekiyor.

Bir diğer zorluk ise, Apple’ın Çevrimiçi Sertifika Durumu Protokolü (OCSP) adlı güvenlik özelliği. Bu özellik, uygulamaların sertifikalarının durumunu kontrol ederek kötü amaçlı yazılımları tespit ediyor. Disk imajı dosyası, sertifikası olmadığı için, OCSP tarafından engelleniyor.

Saldırganlar bunu aşmak için kurbanlara, OCSP’yi devre dışı bırakmalarını veya ayarlarını değiştirmelerini söylüyorlar. Bunu yapmak için kurbanların Terminal uygulamasını açıp “sudo defaults write /Library/Preferences/com.apple.security.revocation OCSPStyle None” komutunu girmeleri gerekiyor.

Hedef: Intel tabanlı Mac’ler

MetaStealer saldırganları, Intel tabanlı Mac’leri hedef alarak daha fazla kurban bulmayı amaçlıyorlar. Toplanan tüm örnekler tek mimari olan Intel x86_64 ikili dosyalardır, bu nedenle doğrudan Intel tabanlı Mac’lerde kullanılabilirler. Ancak Apple Silicon Mac’lerinde çalıştırmak için Rosetta adlı bir araç kullanmaları gerekir. Rosetta, Intel tabanlı uygulamaları Apple Silicon Mac’lerde çalıştırabilen bir çevirici programdır.

Korunma Yolları

MetaStealer saldırganlarına karşı korunmanın en iyi yolu, şüpheli dosyaları başkalarından gelen veya resmi olmayan kaynaklardan indirirken ve açarken dikkatli olmaktır. Ayrıca, Ağ Geçidi Koruyucusu ve OCSP gibi güvenlik özelliklerini devre dışı bırakmamak veya ayarlarını değiştirmemek de önemlidir. Apple zaten bazı koruyucu önlemleri almış durumda. XProtect güncellemesi x2170’nin bir parçası olarak, Apple, MetaStealer’ın bazı sürümlerini etkileyen bir tespit imzasını içeriyor.

SentinelOne, bu tehdide karşı mücadele eden işletmelerdeki IT ve güvenlik ekipleri için Tehdit Belirtileri (Indicators of Compromise) listesi yayınlamıştır. Bu liste aşağıda verilmiştir.

  • MetaStealer Dağıtıcıları
  • AdobeOfficialBriefDescription.dmg: 00b92534af61a61923210bfc688c1b2a4fecb1bb
  • Adobe Photoshop 2023 (Yapay Zeka ile) kurulumu.dmg: 51e8eaf98b77105b448f4a0649d8f7c98ac8fc66
  • Reklam terimleri başvurusu (MacOS sunumu).dmg: 4da5241119bf64d9a7ffc2710b3607817c8df2f
  • Animasyonlu Poster.dmg: c2cd344fbcd2d356ab8231d4c0a994df20760e3e
  • Kart Oyunu.dmg: 5ba3181df053e35011e9ebcc5330034e9e895bfe
  • Ödeme ve Gizlilik Anlaşması Lucasprod.dmg: dec16514cd256613128b93d340467117faca1534
  • FreyaVR 1.6.102.dmg: d3fd59bd92ac03bccc11919d25d6bbfc85b440d3
  • Matrix.dmg: 3033c05eec7c7b98d175df2badd3378e5233b5a2
  • OfficialBriefDescription.app.zip: 345d6077bfb9c55e3d89b32c16e409c508626986
  • P7yersOfficialBriefDescription 1.0.dmg: 35bfdb4ad20908ac85d00dcd7389a820f460db51
  • PDF.app.zip: aa40f3f71039096830f2931ac5df2724b2c628ab
  • TradingView.dmg: e49c078b3c3f696d004f1a85d731cb9ef8c662f1
  • YoungClass kısa sunum Mac 20OS.zip: 3161e6c88a4da5e09193b7aac9aa211a032526b9
  • YoungSUG (Kapak referansları, görevler, logolar, özet)\YoungSUG_Resmi_Tanıtım_LucasProd.dmg: 61c3f2f3a7521920ce2db9c9de31d7ce1df9dd44

Ağ İletişimleri – IP’ler

  • 13[.]114.196[.]60
  • 13[.]125.88[.]10

Ağ İletişimleri – Alan Adları

  • api.osx-mac[.]com
  • builder.osx-mac[.]com
  • db.osx-mac[.]com

Geliştirici Kimliği

  • Bourigaultn Nathan (U5F3ZXR58U)

Mach-O İkili Dosyaları — Intel x86_64

  • 0edd4b81fa931604040d4c13f9571e01618a4c9c
  • 13249e30a9918168e79cdb0f097e4b34fbbd891f
  • 13bcebdb4721746671e0cbffbeed1d6d92a0cf6c
  • 1424f9245a3325c513a09231168d548337ffd698
  • 148bc97ff873276666e0c114d22011ec042fb9b9
  • 15c377eb5a69f93fa833e845d793691a623f928c
  • 166ff1cd47a45e47721bb497b83cc84d8269b308
  • 1b3ce71fa42f4c0c16af1b8436fa43ac57d74ce9
  • 1cc66e194401f2164ff1cbc8c07121475a570d9d
  • 1df31db0f3e5c381ad73488b4b5ac5552326baac
  • 1df8ff1fe464a0d9baaeead3c7158563a60199d4
  • 1e5319969d6a53efc0ec1345414c62c810f95fce
  • 291011119bc2a777b33cc2b8de3d1509ed31b3da
  • 2c567a37c49af5bce4a236be5e060c33835132cf
  • 33a5043f8894a8525eeb2ba5d80aef80b2a85be8
  • 34c7977e20acc8e64139087bd16f0b0a881b044f
  • 3589dd0d01527ca4e8a2ec55159649083b0c50a8
  • 35c3b735949151aae28ebf16d24fb32c8bcd7e6b
  • 35e14d8375f625b04be43019ccb8be57656b15cf
  • 394501f410bd9cb4f4432a32b17348cdde3d4157
  • 47620d2242dfaf14b7766562e812b7778a342a48
  • 57c2302c30955527293ed90bfaf627a4132386fb
  • 65de53298958b4f137c4bd64f31f550dd2199c36
  • 70625f621f91fd6b1a433a52e57474316e0df662
  • 78e8f9a93b56adc8e030403ba5f10f527941f6ae
  • 80c83e659c63c963f55c8add4bf62f9bec73d44e
  • 816fdf1fd9cf9aff2121d1b59c9cca38b5e4eb9d
  • 86eb7c6a4d4bec5abeb6b44e0506ab0d5a96235d
  • 8dfeda030bd3b38592b29d633c40e041d5f3331d
  • 8ec57c1b1b5409cadb99b050c3c41460d4c7fea8
  • 8f211c0ef570382685d024cc8e6e8acd4a137545
  • 90d7f8acf3524fcb58c7d7874a5b6e8194689b1a
  • 92b178817a6c9ad22f10b52e9a35a925a3dc751b
  • a54c9906d41b04b9daf89c2e6eb4fdd54d0eae39
  • a8724eb5f9f8f4607b384154f0c398fce207259e
  • b51d7482d38dd19b2cb1cd303e39f8bddf5452ac
  • bd6b87c6f4f256fb2553627003e8bce58689d1d8
  • bdd4ce8c2622ddcf0888e05690c8b3d1a8c83dae
  • be1ac5ed5dfd295be15ba5ed9fbb69f10c8ec872
  • c37751372bb6c970ab5c447a1043c58ce49e10a5
  • c4d9272ef906c7bf4ccc2a11a7107d6b7071537b
  • c5429b9b4d1a8e147f5918667732049f3bd55676
  • caf4fb1077cea9d75c8ae9d88817e66c870383b5
  • cf467ca23bdb81e008e7333456dfceb1e69e9b8a
  • cfa56e10c8185792f8a9d1e6d9a7512177044a8b
  • d7de135a03a2124c6e0dfa831476e4069ebfba24
  • dbf0983b29a175ebbcf7132089e69b3999adeca7
  • dfd5adb749cbc5608ca915afed826650fcb0ff05
  • e5cfc40d04ea5b1dac2d67f8279c1fd5ecf053f6
  • f6f09ecc920eb694ed91e4ec158a15f1fb09f5dd
  • f93dd5e3504fe79f7fcd64b55145a6197c84caa2
  • f97e22bad439d14c053966193fdfdec60b68b786
  • fce7a0c00bfed23d6d70b57395e2ec072c456cba

Daha fazla bilgi edinmek için buraya tıklayarak diğer haberlerimizi okuyabilirsiniz

CEVAP VER

Lütfen yorumunuzu giriniz!
Lütfen isminizi buraya giriniz