MacOS kullanıcılarını hedefleyen DNS Hijacking amaçlı yeni zararlıya dikkat!

MacOS kullanıcılarını hedefleyen DNS Hijacking amaçlı yeni zararlıya dikkat!
Ocak 15 10:22 2018 Yazıyı Yazdır

Bir güvenlik araştırmacısı, Apple‘ın Mac bilgisayarlarını hedef alan yeni bir tespit edilemeyen zararlı yazılımı ortaya çıkardı.

OSX/MaMi 64-bit altında çalışan zararlı yazılım, 2012’de dünya çapında milyonlarca bilgisayara bulaşan DNSChanger zararlı yazılıma benziyor.

DNSChanger zararlısı genellikle, bulunduğu bilgisayarlarda DNS sunucusu ayarlarını değiştirip; saldırganların, kötü niyetli sunucular üzerinden internete ulaşmasını ve bu sayede hassas bilgileri kolayca alınabilmesini sağlıyordu.

Malwarebytes forumunda yer alan bir kullanıcı, ilk kez macOS’ta DNS ayarlarını gizlice değiştiren ve bilgisayara bulaşan bu bilinmeyen zararlıya ilişkin bir yazı yayınlayarak, 82.163.143.135 ve 82.163.142.137 zararlı IP adreslerini bildirdi.

Eski NSA hackerı Patrick Wardle, konuyu inceledikten sonra, zararlı yazılımı analiz etti ve sonra bunun gerçekten de bir “DNS Hijacker” olduğunu doğruladı. İçerisinde, şifrelenmiş iletişimleri engellemeye yönelik root yetkilerinde yeni bir sertifika yüklemek için güvenlik araçlarını kullanıyor.

Bunun yanında, başlangıç aşamasında olduğu görülen OSX/MaMi zararlısı, aşağıda belirtilen özellikleri de içeriyor; bunların çoğu hala hazırda sürüm 1.1.0’da etkinleştirilmemiş.

  • Ekran görüntüsü alma
  • Mouse aktivitelerinin benzerini oluşturma
  • Dosya indirme ve çalıştırma
  • Komut çalıştırma

Zararlı yazılımın arkasında kimler olduğu, ne seviyede yayıldığı şu an için bilinmiyor.

Patrick, zararlının yayılması için saldırganların kötü niyetli e-postalar, web tabanlı sahte güvenlik uyarıları/pop-up’ları veya Mac kullanıcılarını hedef alan sosyal mühendislik tipi saldırı yöntemleri kullanabileceğine inanıyor.

Mac bilgisayarınıza MaMi kötü amaçlı yazılımının bulaşıp, bulaşmadığını kontrol etmek için, Sistem Tercihleri /System Preferences uygulaması aracılığıyla terminale gidin ve DNS Ayarlarınızı kontrol edin, özellikle 82.163.143.135 ve 82.163.142.137 adreslerini arayın.

VirusTotal‘a göre, şu anda 59 popüler antivirüs yazılımından hiçbiri bu zararlı yazılımı tespit edemiyor. Bu nedenle giden trafiği algılayabilen ve engelleyebilecek bir güvenlik duvarı gibi bir araç kullanmanız önerilir.

Patrick tarafından hazırlanan ve şüpheli trafiği engelleyen. OSX / MaMi’nin verilerinizi çalmasını önleyen GitHub’da bulunan “LuLu” adında bir ücretsiz açık kaynaklı güvenlik duvarı da kurabilirsiniz.

Github: https://github.com/objective-see/LuLu

MaMi’nin detaylı analizini Patrick’in blog adresinden inceleyebilirsiniz.
https://objective-see.com/blog/blog_0x26.html

  Kategori:
daha fazla yazı

Yazar Hakkında

Furkan Sayım
Furkan Sayım

Siber Güvenlik Araştırmacısı olmaya çalışan bir Developer

Daha Fazla Yazı
yorum yapın

Yorum Yok

Henüz yorum yapılmamış

İlk yorumu siz yapabilirsiniz.

Yorum ekleyin

Bilgileriniz güvende! E-posta adresiniz yayınlanmayacak. Diğer kişisel bilgileriniz üçüncü partilerle paylaşılmayacak.
* işaretli alanlar zorunludur.

Time limit is exhausted. Please reload CAPTCHA.