OS X için Ransomware Virüsü: KeRanger

OS X’ler için ransomware (fidye virüsü) virüsü olarak 2014 yılında FileCoder virüsünü duyduk ve bu virüs Kaspersky tarafından keşfedilmişti. Acemice kodlanan FileCoder virüsünün yerini işini artık tam anlamıyla yapabilen KeRanger almış durumda. Bu arada OS X’ler için tam bir işleve sahip ilk fidye virüsü KaRanger’dir.

KeRanger, Transmission BitTorrent Client Installer üzerinden kendini sisteme enfekte etmektedir.

transmissionHackerlar 4 Mart sabahında Tranmission programının 2.90 versiyonunun iki yükleyicisine (installer) de KeRanger’i enfekte ettiler. Durum keşfedildiğinde, enfekte olmuş DMG dosyaları hala Transmission’un sitesinde indirmeye açık halde duruyordu. (https://download.transmissionbt.com/files/Transmission-2.90.dmg). Transmission’a yapılan bu saldırının nasıl yapıldığı hala bilinmiyor olsa da, Linux Mint sitesinin hacklenip imaj dosyalarına backdoor yerleştirme işlemindeki gibi Transmission’un web sitesine de sızılıp indirme dosyaları zararlı olanlar ile değiştirilmiş olabileceğini tahmin etmekteyiz.

KeRanger uygulaması MAC uygulama geliştiricisi sertifikasına kendini üye yaparak bu şekilde Apple’ın Gatekeeper korumasından geçirebildi. Bir kullanıcı bu enfekte olmuş bu uygulamayı yüklerse, gömülü bir yürütülebilir dosya sistemde çalışır duruma geliyor. Ve KeRanger kumanda ve kontrol (C2) sunucuları ile Tor anonim ağına bağlanmadan önce 3 gün bekliyor. Bundan sonra ise malware, sistemdeki belirli dosya türlerini şifrelemeye başlıyor. Bu şifreleme işlemi bittikten sonra KeRanger kurbanlarından dosyalarını geri almaları için beliri bir adrese 1 Bitcoin bedeli ödemelerini istiyor. Bunlara ek olarak, tespitlerimize göre KeRanger hala bir geliştirme ve yapım aşamasında gibi görünüyor ancak bu haldeyken bile çok etkili. Ve tahmin ediliyor ki Time Machine Backup dosylarını da şifreleyerek kurbanların back-up verilerine/dosylarına ulaşmasını da engellemeye uğraşacak.

keranger-os-x-ransomware-1keranger-os-x-ransomware-2

Apple, KeRanger’in elde ettiği sertifikayı iptal ederek Xprotect Antivirus imzasını güncelledi ve Transmission Project websitesinden zararlı yüklemeyi kaldırdı.

KeRanger, kendisini yasal bir Apple uygulama geliştiricisi olarak gösterip sertifika elde etmişti. Ve bu sertifikanın üzerinde yazan Geliştirici ID ise “POLISAN BOYA SANAYI VE TICARET ANONIM SIRKETI (Z7276PX673)“. Ve bu ID bir önceki Transmission versiyonları için Apple’a kayıt olan ID’den farklı.. Ulaşılan bilgiye göre hackerların 4 Mart’ta bu ID’yi kendileri oluşturarak aynı gün Apple’a kendilerini yasal üye gibi tanıtıp sertifika almayı başarmışlar.

polisan-os-x-ransomware

Siz son paragrafı okurken aklınızda soru işaretleri oluştuğuna eminiz. Ya POLİSAN firmasının developerlarından birisi bu tarz underground hacking işleriyle uğraşmakta ya da POLİSAN firmasının developerlarından birinin Apple hesabı ele geçirilerek bu yayma işlemi yapıldı.

Sizce?


 

Yazan: Edipcan Eyüboğlu

Pin It

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Time limit is exhausted. Please reload CAPTCHA.