Mac’ler güvenli mi? MacOS kullanıcılarına yönelik tehditler

Mac’ler sahiplerinin sandığı kadar güvenli mi? MacOS kullanıcılarını hedef alan kötü amaçlı yazılımlarla ilgili birkaç yeni haber.

Birçok Apple kullanıcısı macOS işletim sisteminin hiçbir siber tehdidin kendilerine zarar veremeyeceği kadar güvenli olduğuna inanıyor ve bu yüzden cihazlarını koruma konusunda endişelenmelerine gerek olmadığını düşünüyor. Ancak durum bundan çok farklı: macOS’a yönelik kötü amaçlı yazılımların sayısı daha az olsa da, yine de sayıları Apple cihaz sahiplerinin düşünmek istediğinden çok daha fazla.

Bu yazıda macOS kullanıcılarının karşı karşıya olduğu güncel tehditleri ve Mac’inizi nasıl etkili bir şekilde koruyabileceğinize değiniyoruz. macOS için virüslerin var olduğu gerçeğini göstermek için, son birkaç hafta içinde yayınlanan çeşitli kötü amaçlı yazılım aileleri üzerine yapılan üç yeni araştırmaya bakacağız.

BlueNoroff macOS kullanıcılarına saldırıyor ve kripto para çalıyor

Ekim 2023’ün sonlarında araştırmacılarımız, Kuzey Kore için çalışan Lazarus APT grubunun “ticari kanadı” BlueNoroff ile ilişkili olduğuna inanılan yeni bir macOS Truva atı keşfetti. Bu alt grup finansal saldırılar konusunda uzmanlaşmıştır ve özellikle iki şeye odaklanırlar: birincisi, Bangladeş Merkez Bankası soygunu da dahil olmak üzere SWIFT sistemine yönelik saldırılar ve ikincisi, kuruluşlardan ve bireylerden kripto para çalmak.

Keşfedilen macOS Trojan indiricisi kötü niyetli arşivler içinde dağıtılıyor. “Kripto varlıklar ve finansal istikrar için riskleri” başlıklı bir PDF belgesi olarak gizlenmiş ve bu belgenin önizlemesini taklit eden bir simgeye sahip.

BlueNoroff/RustBucket: tuzak PDF'nin kapak sayfası

Trojanın yüklediği ve virüs bulaşmış bir arşivden dosyayı başlatırken kullanıcıya gösterdiği aldatıcı PDF’nin kapak sayfası. Kaynak

Kullanıcı (PDF gibi görünen) Trojana tıkladığında, ilgili PDF belgesini internetten indiren ve açan bir komut dosyası çalıştırılıyor. Ancak, elbette, tüm olanlar bu kadar değil. Trojanın ana görevi, bulaştığı sistem hakkında bilgi toplayan başka bir virüs indirmek, bunu C2’ye göndermek ve ardından iki olası eylemden birini gerçekleştirmek için bir komut beklemektir. Bu eylemlerden biri kendini silme diğeri de bir dosyaya kaydetme ve sunucudan yanıt olarak gönderilen kötü amaçlı kodu çalıştırma.

macOS için korsan yazılımda Proxy Trojan

Kasım 2023’ün sonlarında, araştırmacılarımız Mac kullanıcılarını tehdit eden başka bir kötü amaçlı yazılım örneği daha keşfetti: macOS için korsan yazılımla birlikte dağıtılan bir proxy Trojan. Özellikle, bu Trojan kırılmış video düzenleme programlarının, veri kurtarma araçlarının, ağ yardımcı programlarının, dosya dönüştürücülerinin ve diğer birçok yazılımın PKG dosyalarına eklenmişti. Uzmanlarımız tarafından keşfedilen virüslü yükleyicilerin tam listesi Securelist’te yayınlanan raporun sonunda bulunabilir.

Daha önce de belirtildiği gibi, bu kötü amaçlı yazılım proxy Trojanlar kategorisine girmektedir. Bunlar virüslü bilgisayarda bir proxy sunucusu kuran ve esasen internet trafiğini yönlendirmek için bir ana bilgisayar oluşturan kötü amaçlı yazılımlardır. Daha sonra, siber suçlular bu tür virüslü cihazları kullanarak ücretli bir proxy sunucu ağı oluşturabilir ve bu tür hizmetler arayanlardan para kazanabilirler.

Alternatif olarak, Trojanın sahipleri virüs bulaşmış bilgisayarları doğrudan kurbanın adına web sitelerine, şirketlere veya diğer kullanıcılara saldırmak veya silah, uyuşturucu veya diğer yasa dışı malları satın almak gibi suç faaliyetleri yürütmek için kullanabilir..

Sahte Safari tarayıcı güncellemelerinde Atomic hırsızı

Ayrıca Kasım 2023’te, Atomic olarak bilinen ve hırsızlık kategorisine ait olan macOS için başka bir Truva atını yayan yeni bir kötü amaçlı kampanya keşfedildi. Bu tür kötü amaçlı yazılımlar, kurbanın bilgisayarında bulunan her türlü değerli bilgiyi, özellikle de tarayıcılarda kayıtlı verileri arar, çıkarır ve yaratıcılarına gönderir. Girişler ve parolalar, banka kartı bilgileri, kripto cüzdan anahtarları ve benzeri hassas bilgiler hırsızlar için özellikle değerlidir.

Atomic Trojan ilk olarak Mart 2023’te keşfedilmiş ve tanımlanmıştır. Yeni olan şey ise saldırganların Atomic Trojan’ı yaymak için Safari ve Chrome tarayıcıları için sahte güncellemeler kullanmaya başlamış olmaları. Bu güncellemeler, orijinal Apple ve Google web sitelerini çok inandırıcı bir şekilde taklit eden kötü amaçlı sayfalardan indiriliyor.

İçinde hırsız Trojan bulunan sahte Safari tarayıcı güncellemeleri

Aslında Atomic hırsızını içeren sahte Safari tarayıcı güncellemeleri içeren bir site. Kaynak

Atomic Trojanı bir sistemde çalışmaya başladığında, kurbanın bilgisayarından şu bilgileri çalmaya çalışır:

  • tanımlama bilgileri
  • tarayıcıda saklanan oturum açma bilgileri, parolalar ve banka kartı bilgileri
  • macOS parola depolama sisteminden (Anahtar Zinciri) parolalar
  • sabit sürücüde depolanan dosyalar
  • 50’den fazla popüler kripto para birimi uzantısından depolanan veriler

macOS’te sıfır gün güvenlik açıkları

Ne yazık ki, herhangi bir şüpheli dosya indirmeseniz, bilinmeyen kaynaklardan gelen ekleri açmaktan kaçınsanız ve genellikle şüpheli herhangi bir şeye tıklamaktan kaçınsanız bile, bunlar güvenliğinizi garanti etmez. Herhangi bir yazılımın, saldırganların bir cihaza virüs bulaştırmak için kullanabileceği ve çok az aktif kullanıcı eylemi gerektiren veya hiç gerektirmeyen güvenlik açıklarına her zaman sahip olduğunu unutmamak önemlidir. macOS işletim sistemi de bu kuralın bir istisnası değildir.

Kısa bir süre önce Safari tarayıcısında iki sıfır gün açığı keşfedildi ve Apple’ın duyurusuna göre, bunlar keşfedildikleri sırada siber suçlular bunları zaten kullanıyorlardı. Saldırganlar, kurbanı kötü amaçlı bir web sayfasına çekerek, herhangi bir ek kullanıcı eylemi olmaksızın cihazlarına virüs bulaştırabilir ve böylece cihazın kontrolünü ele geçirerek cihazdan veri çalabilir. Bu güvenlik açıkları Safari tarayıcısını kullanan tüm cihazlar için geçerli olup hem iOS/iPadOS kullanıcıları hem de Mac sahipleri için tehdit oluşturur.

Bu yaygın bir senaryodur: Apple’ın işletim sistemleri birçok bileşeni paylaştığından, güvenlik açıkları genellikle şirketin işletim sistemlerinden yalnızca biri için değil, hepsi için geçerlidir. Dolayısıyla bu, Mac’lerin iPhone’un popülaritesi tarafından ihanete uğradığı bir durumdur: iOS kullanıcıları birincil hedeflerdir, ancak bu güvenlik açıkları macOS’a saldırmak için de kolayca kullanılabilir.

Apple’ın işletim sistemlerinde 2023 yılında saldırganlar tarafından aktif olarak kullanıldığı bilinen toplam 19 sıfır gün güvenlik açığı keşfedilmiştir. Bunlardan 17’si macOS kullanıcılarını etkiledi; bir düzineden fazlası yüksek riskli statüde ve biri de kritik olarak sınıflandırıldı.

iOS ve macOS'ta sıfır gün güvenlik açıkları: CVE-2023-42917, CVE-2023-42916, CVE-2023-42824, CVE-2023-41993, CVE-2023-41992, CVE-2023-41991, CVE-2023-41064, CVE-2023-41061, CVE-2023-38606, CVE-2023-37450, CVE-2023-32439, CVE-2023-32435, CVE-2023-32434, CVE-2023-32409, CVE-2023-32373, CVE-2023-28204, CVE-2023-28206, CVE-2023-28205, CVE-2023-23529

macOS, iOS ve iPadOS’te 2023 yılında keşfedilen ve siber suçlular tarafından aktif olarak kullanılan sıfır gün güvenlik açıkları

Diğer tehditler ve Mac’inizi nasıl koruyacağınız

Unutulmaması gereken şey, işletim sistemine bağlı olmayan ancak kötü amaçlı yazılımlardan daha az tehlikeli olmayan çok sayıda siber tehdit olduğudur. Özellikle aşağıdaki tehditlere karşı dikkatli olun:

  • Kimlik avı ve sahte web siteleri. Kimlik avı e-postaları ve web siteleri hem Windows kullanıcıları hem de Mac sahipleri için aynı şekilde çalışır. Ne yazık ki, tüm sahte e-postalar ve web siteleri kolayca tanınamaz. Bu nedenle deneyimli kullanıcılar bile oturum açma kimlik bilgilerinin çalınması riskiyle karşı karşıya kalırlar.
  • Web skimmer’largibi üzere web tehditleri. Kötü amaçlı yazılımlar yalnızca kullanıcının cihazına değil, aynı zamanda iletişim kurduğu sunucuya da bulaşabilir. Örneğin, saldırganlar genellikle kötü korunan web sitelerini, özellikle de çevrimiçi mağazaları hackler ve bunlara web skimmer’ları yükler. Bu küçük yazılım modülleri, ziyaretçiler tarafından girilen banka kartı verilerini yakalamak ve çalmak için tasarlanmıştır.
  • Kötü amaçlı tarayıcı uzantıları. Bu küçük yazılım modülleri doğrudan tarayıcıya yüklenir ve tarayıcı içinde çalışır, bu nedenle kullanılan işletim sistemine bağlı değildir. Görünüşte zararsız olmalarına rağmen, uzantılar çok şey yapabilir: ziyaret edilen tüm sayfaların içeriğini okuyabilir, kullanıcı tarafından girilen bilgileri (şifreler, kart numaraları, kripto cüzdanlarının anahtarları) görebilir ve hatta görüntülenen sayfa içeriğini değiştirebilir.
  • Trafiğe müdahale ve ortadaki adam (MITM) saldırıları. Çoğu modern web sitesi şifreli bağlantılar (HTTPS) kullanır, ancak yine de bazen veri alışverişine müdahale edilebilecek HTTP sitelerine rastlayabilirsiniz. Siber suçlular bu tür engellemeleri MITM saldırıları başlatmak için kullanarak kullanıcılara meşru sayfalar yerine sahte veya virüslü sayfalar sunarlar.

Cihazınızı, çevrimiçi hizmet hesaplarınızı ve en önemlisi içerdikleri değerli bilgileri korumak için hem Mac bilgisayarlarda hem de iPhone/iPad’lerde kapsamlı koruma kullanmak çok önemlidir. Bu tür bir koruma, Kaspersky Premium örneğin, etkinliği bağımsız test laboratuvarlarından alınan çok sayıda ödülle onaylanmış olan bizim gibi çözümler, tüm tehditlere karşı koruma sağlayabilmelidir.

İpuçları