Apple Mac İçin Yeni Tehdit: Eleanor

Bitdefender araştırmacıları Mac işletim sisteminde arka kapı açan bir güvenlik açığı buldu.

Apple kullanıcıları için kötü haber; Bitdefender’ın güvenlik araştırmacıları Mac işletim sistemine tor ağı ile ulaşılabilen bir güvenlik açığı buldu.

Bitdefender’ın güvenlik uzmanlarından Alexandra Gheorghe yaptığı açıklamada kötü amaçlı yazılımın yaratıcıları bu kötü amaçlı yazılımı EasyDoc Converter kodu olarak dağıttığına değindi. EasyDoc Converter uygulaması, Mac kullanıcıları tarafından sıkça kullanılan, kullanıcıların Mac dosyalarını PC dosyalarına çevirmesine olanak veren üçüncü parti bir uygulama sitesi.

Bu yeni Backdoor.MAC.Eleanor lakaplı yazılım, kötü amaçlı bir komut dosyasını çalıştırarak başlangıçta 3 tane bileşen yükler ve kaydeder: Tor gizli servisi, PHP web hizmeti ve Pastebin istemcisi.

Gheorghe açıklamalarında “Bileşenler sisteme yüklendikten sonra bütün kontrolü ele geçirebilir, uygulamaları kapatabilir ve bilgisayarda bulunan bütün bilgileri çalabilir. Ayrıca bilgisayarın kamerasına ulaşıp kurbanların fotoğraflarını ve videolarını çekebilir” sözlerine yer verdi.

Gheorghe bu saldırıların kökeninin hangi ülke olduğunu veya bu kötü amaçlı yazılımın ne kadar yıkıcı olduğunu henüz bilmediklerini açıkladı. Eleanor saldırganlarının fotoğraf, belge, kimlik bilgileri veya bilgisayarlarda tutulan başka bilgilere ulaşmak istiyor olabileceğini, hatta başka aygıtlara bağlanmak ve kötü amaçlı yazılımı bulaştırmak için Mac bilgisayarları kullanıyor olabileceklerini söyledi.

Bitdefender’ın günlük rutin analizleri sırasında keşfedilen Eleanor’dan kullanıcıların kendini korumak için yapabileceği iki şey olduğunu belirten Gheorghe, kullanıcıların üçüncü parti uygulama marketlerinden indirme yapmamalarını ve Mac uyumlu güvenilir bir antivirüs programı kullanmalarını öneriyor.

Bitdefender kötü amaçlı yazılımın nasıl çalıştığını şöyle anlattı:

Eleanor1

1) 1) Kötü amaçlı yazılım bir EasyDoc çevirici uygulamasının içine gizleniyor. Bu uygulamayı indiren Mac kullanıcıları dosyalarını çevirmeyi umarken, Eleanor başka bir plan üzerinde çalışmaya başlıyor.

Eleanor2

2) Kullanıcı uygulamayı indirdikten sonra, Backdoor.MAC.Eleanor bir arka kapı yüklenir. Bu arka kapı saldırganın işletim sistemine, kod erişimlerine ve kamerasına ulaşabilir. Bu uygulama Platypus kullanılarak tasarlanmış bir uygulamadır.

Eleanor3

3) Yazılım AppSettings.plist ayarlarına göre “EasyDocConventer.app/Resources/script” komutunu çalıştırır. İlk önce Little Snitch’in yüklü olup olmadığını kontrol eder, daha sonra kullanıcının daha önceden aynı malware’i yükleyip yüklemediğini “/Users/$USER/Library/.dropbox dizininden kontrol eder. Eğer yüklenmemişse o dizini oluşturup, bileşenleri yükler ve sistem başlatma için onları kaydeder.

Eleanor4

4) İlk bileşen bir Tor gizli servisi oluşturur. Tor gizli servisi saldırganın kurban bilgisayarda ikinci bir arka kapıya ulaşmasını sağlar.

Eleanor5

5) İkinci bileşen, Web Service (PHP), saldırganın ana kontrol paneline giriş yapmasını sağlar. Ana kontrol paneline girebilen bir saldırgan, file manager, command execution, script execution, shell via bin/reverse connect, simple packet crafter, connection to DBMS, process list/task manager ve string conversion gibi bir çok olanağa sahip oluyor.

Eleanor6

6) Üçüncü bileşen ise kameranın kontrol paneline erişimi sağlıyor. Bu bileşen “~/Library/.dropbox/utilities/wacaw.” dizininde bulunan bir araçla saldırgana, kurbanlarının fotoğraflarını ve videolarını çekebilme olanağı sağlıyor.

Kaynak: darkreading.com