macOS Kullanıcılarına Yeni Siber Tehdit: SHub “Reaper” Varyantı Tespit Edildi

macOS kullanıcılarını hedef alan SHub bilgi hırsızı yazılımın yeni bir varyantı tespit edildi. SentinelOne tarafından “Reaper” adı verilen yeni sürümün, sahte Apple güvenlik güncellemesi mesajlarıyla kullanıcıları kandırarak sistemlere arka kapı yerleştirdiği açıklandı.

Araştırmacılar, yeni varyantın önceki SHub kampanyalarından farklı olarak “ClickFix” yöntemi yerine Apple’ın “applescript://” URL şemasını kullandığını belirtti. Bu yöntemle kullanıcıların macOS Script Editor uygulamasını açmasının sağlandığı, zararlı AppleScript kodunun burada çalıştırıldığı ifade edildi.

SentinelOne uzmanları, saldırganların WeChat ve Miro uygulamalarının sahte yükleyicilerini kullanarak kullanıcıları zararlı sitelere yönlendirdiğini açıkladı. “qq-0732gwh22[.]com”, “mlcrosoft[.]co[.]com” ve “mlroweb[.]com” gibi alan adlarının meşru platformları taklit edecek şekilde hazırlandığı kaydedildi.

 Sahte Güncelleme Mesajıyla Şifre İsteniyor

Araştırmacılar, kullanıcının “Run” seçeneğine tıklamasının ardından zararlı kodun sahte bir Apple güvenlik güncellemesi mesajı gösterdiğini belirtti. Açıklamada, “XProtectRemediator” referansıyla güvenilir görünüm oluşturulurken arka planda “curl” komutuyla zararlı dosyanın indirildiği ve “zsh” üzerinden sessiz biçimde çalıştırıldığı aktarıldı.

Zararlı yazılımın, bulaşma öncesinde sistemde Rusça klavye veya giriş yöntemi kullanılıp kullanılmadığını kontrol ettiği ifade edildi. Eşleşme tespit edilmesi halinde saldırının sonlandırıldığı ve sisteme bulaşma gerçekleştirilmediği kaydedildi.

 Kripto Cüzdanları ve Tarayıcı Verileri Hedefte

SHub Reaper varyantının Google Chrome, Mozilla Firefox, Brave, Microsoft Edge, Opera, Vivaldi, Arc ve Orion gibi tarayıcılardaki verileri hedef aldığı bildirildi.

Ayrıca MetaMask ve Phantom gibi kripto cüzdan uzantılarıyla birlikte 1Password, Bitwarden ve LastPass gibi parola yöneticilerinin de saldırı kapsamında olduğu belirtildi.

Araştırmacılar, Exodus, Atomic Wallet, Ledger Live, Electrum ve Trezor Suite gibi masaüstü kripto cüzdan uygulamalarının da hedef alındığını açıkladı.

Zararlı yazılımın uygulama süreçlerini sonlandırarak meşru dosyaların yerine kötü amaçlı “app.asar” dosyası yerleştirdiği ifade edildi.

 “Filegrabber” Modülü Hassas Belgeleri Topluyor

SentinelOne raporunda, “Filegrabber” adlı modülün Masaüstü ve Belgeler klasörlerinde hassas veri içerebilecek dosyaları taradığı belirtildi. 2 MB’a kadar olan dosyaların, PNG görseller için ise 6 MB’a kadar verilerin toplandığı, toplam veri hacminin 150 MB ile sınırlandırıldığı aktarıldı.

Uzmanlar, SHub Reaper’ın kalıcılık sağlamak amacıyla Google yazılım güncelleme hizmetini taklit eden bir script kurduğunu ve bunu LaunchAgent üzerinden her dakika çalışacak şekilde yapılandırdığını bildirdi. Açıklamada, saldırganların bu yöntemle ele geçirilen cihazlara uzun süreli erişim sağlayabildiği ve ek zararlı yazılımlar yükleyebildiği ifade edildi.

 Kullanıcılara Kritik Uyarı

SentinelOne, kullanıcıların Script Editor çalıştırıldıktan sonra oluşan şüpheli ağ trafiğini takip etmeleri ve güvenilir yazılım sağlayıcılarını taklit eden yeni LaunchAgent kayıtlarına karşı dikkatli olmaları gerektiği uyarısında bulundu.

Kaynak: Beykozun Sesi