Yakın zamanda Mac bilgisayarlarda yeni bir güvenlik açığı saptandı. Bu güvenlik açığını kullanan, kötü eylemleri ile ün kazanmış hacker grubu Lazarus, sinsi bir zararlı yazılımla kullanıcıların gizlilik haklarını ihlal ediyor. Yazılımı Mac kullanıcılarına bulaştırmak isteyen grup, antivirüs programlarından gizlenmek için yazılımı sabit diske depolamayan bir teknik uyguluyor.
Zararlı hacker grubu Lazarus, 2017 yılında Microsoft kullanıcılarını hedefleyen bir fidye yazılımyla gündeme gelmişti. Bu zararlı yazılım sayesinde birçok insanın bilgisayarına sızan grup, bitcoin birimi ile bu insanlardan fidye toplamıştı.
Sabit diskte barınmıyor
Mac güvenlik uzmanı Patrick Wardle'ın aktardığı bilgilere göre bu yazılım belleğe sızıyor ve cihazın sabit diskinde hiçbir kalıntı bırakmadan işliyor. Zararlı kodun sabit diske kaydolmadan belleğe yüklenmesi, antivirüs programlarının durumu saptamasının önüne geçiyor. Çünkü ortada saptayacak bir dosya olmuyor.
Yazılımı saptayabilen programlar artıyor
Yine de sorunu çözebilecek bir umut ışığı var. Yazılım aslında tamamen dosyasız değil. Virüsün bulaşmasının ilk evrsinde 'UnionCryptoTrader.dmg' adında bir kripto para birimi uygulaması bilgisayara yükleniyor. VirusTotal'a göre şu anda 57 virüs saptama programından 17'si bu zararlı yazılımı saptayabiliyor. Daha öncesinde, virüs bu hafta başı ilk kez gündeme geldiğinde bu sayı sadece ikiydi.
Araştırmacıların, Lazarus'un bu zararlı yazılımın arkasında olduğunu düşünme sebebinin, hayalet yazılımın özellikler listesi ve binary kısmının uygulama kaynak dizininde depolanıyor olması olduğu söyleniyor. Bu teknik, özellikle Lazarus grubu tarafından kullanılmasıyla biliniyor.
Partick Wardle, konuyla ilgili olarak blogunda şu ifadelere yer verdi: "Bir iç bellek işlem görüntüsünün düzeni, diskteki resimden farklı olduğundan, bir dosya basitçe belleğe kopyalanıp doğrudan yürütülemez. Bunun yerine 'NSCreateObjectFileImageFromMemory' ve 'NSLinkModule' gibi API'lerin kullanılması gerek."
Yazılım daha çok kripto para ticaretinde bulunan kullanıcıları hedefliyor. Yazılımdan uzak durmak ve korunmak için yapmanız gereken basit: internet üzerinden şüpheli bir yazılım indirmediğinizden emin olun.
