Mac Kullanıcılarının Kapalılığını Riske Atan Güvenlik Açığı

Yakın vakitte Mac bilgisayarlarda yeni bir güvenlik açığı saptandı. Bu güvenlik açığını kullanan, berbat aksiyonları ile ün kazanmış hacker kümesi Lazarus, sinsi bir ziyanlı yazılımla kullanıcıların zımnilik haklarını ihlal ediyor. Yazılımı Mac kullanıcılarına bulaştırmak isteyen küme, antivirüs programlarından gizlenmek için yazılımı sabit diske depolamayan bir teknik uyguluyor.

Ziyanlı hacker kümesi Lazarus, 2017 yılında Microsoft kullanıcılarını hedefleyen bir fidye yazılımyla gündeme gelmişti. Bu ziyanlı yazılım sayesinde birçok insanın bilgisayarına sızan küme, bitcoin ünitesi ile bu insanlardan fidye toplamıştı.

Sabit diskte barınmıyor

Mac güvenlik uzmanı Patrick Wardle'ın aktardığı bilgilere nazaran bu yazılım belleğe sızıyor ve aygıtın sabit diskinde hiçbir kalıntı bırakmadan işliyor. Ziyanlı kodun sabit diske kaydolmadan belleğe yüklenmesi, antivirüs programlarının durumu saptamasının önüne geçiyor. Zira ortada saptayacak bir evrak olmuyor.

Yazılımı saptayabilen programlar artıyor

Tekrar de sorunu çözebilecek bir umut ışığı var. Yazılım aslında büsbütün belgesiz değil. Virüsün bulaşmasının birinci evrsinde 'UnionCryptoTrader.dmg' isminde bir kripto para ünitesi uygulaması bilgisayara yükleniyor. VirusTotal'a nazaran şu anda 57 virüs saptama programından 17'si bu ziyanlı yazılımı saptayabiliyor. Daha öncesinde, virüs bu hafta başı birinci defa gündeme geldiğinde bu sayı yalnızca ikiydi.

Araştırmacıların, Lazarus'un bu ziyanlı yazılımın gerisinde olduğunu düşünme sebebinin, hayalet yazılımın özellikler listesi ve binary kısmının uygulama kaynak dizininde depolanıyor olması olduğu söyleniyor. Bu teknik, bilhassa Lazarus kümesi tarafından kullanılmasıyla biliniyor.

Partick Wardle, hususla ilgili olarak blogunda şu tabirlere yer verdi: “Bir iç bellek süreç manzarasının nizamı, diskteki fotoğraftan farklı olduğundan, bir belge basitçe belleğe kopyalanıp direkt yürütülemez. Bunun yerine 'NSCreateObjectFileImageFromMemory' ve 'NSLinkModule' üzere API'lerin kullanılması gerek.”

Yazılım daha çok kripto para ticaretinde bulunan kullanıcıları hedefliyor. Yazılımdan uzak durmak ve korunmak için yapmanız gereken kolay: internet üzerinden kuşkulu bir yazılım indirmediğinizden emin olun.