Kuzey Koreli Saldırganların Yeni MacOS Virüsü Kendini Sahte Kripto Firmasıyla Gizliyor

Lazarus APT Group olarak bilinen ünlü Kuzey Koreli bilgisayar korsanları, sahte bir kripto para firmasının arkasında gizlenerek Apple Mac'leri hedef alan bir diğer kötü amaçlı yazılım oluşturdu.

Jamf Patrick Wardle'deki Apple Mac güvenlik uzmanı ve baş güvenlik araştırmacısı, 12 Ekim'de yayınladığı blog gönderisiyle MalwareHunterTeam (MHT) araştırmacıları tarafından önceki gün açıklanan kötü amaçlı yazılımın yapısını açıkladı.

Eski macOS kripto-virüsleri ile yakından ilişkili

MHT ve Wardle, uyarıları esnasında kötü amaçlı yazılımın VirusTotal'daki herhangi bir motor tarafından tespit edilmediğini ve ellerindeki örneğin, Lazarus Group tarafından oluşturulan ve Kaspersky Labs tarafından 2018 yaz aylarında tanımlanan Mac kötü amaçlı yazılım türüyle yakından ilgili göründüğü konusunda uyardılar.

Daha önce olduğu gibi, bilgisayar korsanları bu sefer adı “JMT Trading” olan saldırılarını gerçekleştirdikleri sahte bir kripto para birimi firması kurdular. Açık kaynaklı bir kripto para uygulaması yazdıktan sonra, kodunu GitHub'a yüklediler ve içindeki kötü amaçlı yazılımı gizlediler.

Wardle, uygulamanın kurulum sürecini analiz ederek şüpheli paketi ve içinde gizlenmiş olan hayalet programı belirledi ve bilgisayar korsanlarının arka kapı kodunun kötü amaçlı işlevini analiz etti. 

Arka kapı uzaktan kumandalı bir saldırganın virüslü macOS sistemleri üzerinde tam bir komut ve kontrol sağlasa da, Wardle açık kaynaklı güvenlik araçlarının ve uyarılan kullanıcılar tarafından yapılan tarama işlemlerinin kötü amaçlı yazılımları tespit etmede sorun yaşamaması gerektiğini belirtti. Ancak, VirusTotal motorlarının şu anda yazılımı tespit etmediği uyarısını yineledi.

Ayrıca, kötü amaçlı yazılımın en muhtemel hedeflerinin, günlük perakende yatırımcılardan ziyade kripto borsası çalışanları olduğunu düşünüyor.

Siber kötüler

Bildirildiği üzere, Kuzey Kore devletinin desteklediği iddia edilen Lazarus Grubu, kötü niyetli faaliyetleriyle kötü bir üne sahip. Grubun 2018 sonbaharından itibaren, 2017'nin başından beri 571 milyon dolarlık kripto para çaldığı tahmin ediliyor ve Japon borsası Coincheck'e yapılan 532 milyon dolarlık sektör rekoru saldırısına da karıştığı iddia ediliyor.

ABD Ulusal Güvenlik Ajansı (NSA) Müdürü Anne Neuberger geçtiğimiz Eylül ayında, Kuzey Kore'nin siber savaş stratejisinde yaratıcı olduğunu belirtmiş ve kural tanımaz devletin Başkan Kim Jong-Un rejiminin finansmanı için kripto para kullanımına dikkat çekmişti.