OS X için Ransomware Virüsü: KeRanger

OS X için Ransomware Virüsü: KeRanger
Mart 07 16:33 2016 Yazıyı Yazdır

OS X’ler için ransomware (fidye virüsü) virüsü olarak 2014 yılında FileCoder virüsünü duyduk ve bu virüs Kaspersky tarafından keşfedilmişti. Acemice kodlanan FileCoder virüsünün yerini işini artık tam anlamıyla yapabilen KeRanger almış durumda. Bu arada OS X’ler için tam bir işleve sahip ilk fidye virüsü KaRanger’dir.

KeRanger, Transmission BitTorrent Client Installer üzerinden kendini sisteme enfekte etmektedir.

transmissionHackerlar 4 Mart sabahında Tranmission programının 2.90 versiyonunun iki yükleyicisine (installer) de KeRanger’i enfekte ettiler. Durum keşfedildiğinde, enfekte olmuş DMG dosyaları hala Transmission’un sitesinde indirmeye açık halde duruyordu. (https://download.transmissionbt.com/files/Transmission-2.90.dmg). Transmission’a yapılan bu saldırının nasıl yapıldığı hala bilinmiyor olsa da, Linux Mint sitesinin hacklenip imaj dosyalarına backdoor yerleştirme işlemindeki gibi Transmission’un web sitesine de sızılıp indirme dosyaları zararlı olanlar ile değiştirilmiş olabileceğini tahmin etmekteyiz.

KeRanger uygulaması MAC uygulama geliştiricisi sertifikasına kendini üye yaparak bu şekilde Apple’ın Gatekeeper korumasından geçirebildi. Bir kullanıcı bu enfekte olmuş bu uygulamayı yüklerse, gömülü bir yürütülebilir dosya sistemde çalışır duruma geliyor. Ve KeRanger kumanda ve kontrol (C2) sunucuları ile Tor anonim ağına bağlanmadan önce 3 gün bekliyor. Bundan sonra ise malware, sistemdeki belirli dosya türlerini şifrelemeye başlıyor. Bu şifreleme işlemi bittikten sonra KeRanger kurbanlarından dosyalarını geri almaları için beliri bir adrese 1 Bitcoin bedeli ödemelerini istiyor. Bunlara ek olarak, tespitlerimize göre KeRanger hala bir geliştirme ve yapım aşamasında gibi görünüyor ancak bu haldeyken bile çok etkili. Ve tahmin ediliyor ki Time Machine Backup dosylarını da şifreleyerek kurbanların back-up verilerine/dosylarına ulaşmasını da engellemeye uğraşacak.

keranger-os-x-ransomware-1keranger-os-x-ransomware-2

Apple, KeRanger’in elde ettiği sertifikayı iptal ederek Xprotect Antivirus imzasını güncelledi ve Transmission Project websitesinden zararlı yüklemeyi kaldırdı.

KeRanger, kendisini yasal bir Apple uygulama geliştiricisi olarak gösterip sertifika elde etmişti. Ve bu sertifikanın üzerinde yazan Geliştirici ID ise “POLISAN BOYA SANAYI VE TICARET ANONIM SIRKETI (Z7276PX673)“. Ve bu ID bir önceki Transmission versiyonları için Apple’a kayıt olan ID’den farklı.. Ulaşılan bilgiye göre hackerların 4 Mart’ta bu ID’yi kendileri oluşturarak aynı gün Apple’a kendilerini yasal üye gibi tanıtıp sertifika almayı başarmışlar.

polisan-os-x-ransomware

Siz son paragrafı okurken aklınızda soru işaretleri oluştuğuna eminiz. Ya POLİSAN firmasının developerlarından birisi bu tarz underground hacking işleriyle uğraşmakta ya da POLİSAN firmasının developerlarından birinin Apple hesabı ele geçirilerek bu yayma işlemi yapıldı.

Sizce?


 

Yazan: Edipcan Eyüboğlu

daha fazla yazı

Yazar Hakkında

İsmail Saygılı
İsmail Saygılı

1998 yılında bilgisayarla tanışan İsmail Saygılı, 2000 yılından bu yana aktif olarak siber dünyada rol almaktadır. 2010 yılına kadar ki süreçte Black Hat tarafında kendisini geliştirmiştir. Üniversite eğitimini uçak teknolojisi üzerine alan Saygılı, 2010 yılından sonra profesyonel olarak siber güvenlik sektöründe çalışmakta ve bu konuda çeşitli eğitimler de vererek sektöre aranılan personeller kazandırmaktadır. Ayrıca kendi blogunda kişisel bilgi ve tecrübelerini makaleler yazarak okuyucularına aktarıyor.

Daha Fazla Yazı
yorum yapın

2 Yorum

  1. İrem
    Ocak 27, 12:56 #1 İrem

    Zararlının sample’ı var mıdır acaba örnek dosyası analiz için?

    Reply to this comment

Yorum ekleyin

Bilgileriniz güvende! E-posta adresiniz yayınlanmayacak. Diğer kişisel bilgileriniz üçüncü partilerle paylaşılmayacak.
* işaretli alanlar zorunludur.

Time limit is exhausted. Please reload CAPTCHA.