ESET araştırmacıları özel macOS casus yazılımını analiz ediyor: DazzleSpy, Hong Kong'daki demokrasi yanlısı haber sitelerinin ziyaretçilerine, kendisini bir istismar olarak çalıştırarak ve site ziyaretçisine yerleştirerek saldırıyor.
Hong Kong radyo istasyonu D100'ün web sitesinin güvenliği ihlal edildi. Haber portalı ziyaretçilerinin Mac'lerine casus yazılım yükleyen bir Safari istismarı çalışır. Saldırganlar tarafından gerçekleştirilen "su kuyusu" operasyonları, hedeflerin muhtemelen siyasi olarak aktif, Hong Kong'daki demokrasi yanlısı figürler olduğunu gösteriyor. ESET araştırmacıları, casus programa DazzleSpy adını verdiler ve daha detaylı incelediler. Kötü amaçlı yazılım, çok çeşitli hassas ve kişisel bilgileri toplama yeteneğine sahiptir.
Hedeflenen sulama deliği operasyonları
"Tarayıcıda kod yürütmek için kullanılan istismar, 1.000'den fazla kod satırı içeren oldukça karmaşık. İlginç bir şekilde, bazıları güvenlik açığından iOS'ta da yararlanılabileceğini öne sürüyor. Bu, iPhone XS ve daha yeni varyantlar gibi cihazları da etkiler," diyor.
macOS'ta Safari web tarayıcısı için açıklardan yararlanmaya yol açan sulama deliği saldırılarına ilişkin ilk rapor, geçen Kasım ayında Google tarafından yayınlandı. ESET araştırmacıları, saldırıları Google ile aynı anda araştırdı ve kurbanların güvenliğini aşmak için kullanılan hedefler ve kötü amaçlı yazılımlar hakkında ek ayrıntılar ortaya çıkardı. Güvenlik açığı şimdi düzeltildi.
Bu kampanya, 2020 iOS kötü amaçlı yazılım kampanyası LightSpy ile benzerlikler paylaşıyor. Burada, Hong Kong'dan bir web sitesine gelen ziyaretçiler, HTML öğesi iframe kullanılarak bir WebKit istismarına yönlendirildi.
DazzleSpy hedefleri hakkında bilgi toplar
DazzleSpy casus programı, çeşitli eylemler gerçekleştirme yeteneğine sahiptir. Kötü amaçlı yazılım, ele geçirilen bilgisayar hakkında bilgi toplayabilir, belirli dosyaları arayabilir, Masaüstü, İndirilenler ve Belgeler klasörlerindeki dosyaları tarayabilir, paket kabuk komutlarını yürütebilir, uzak ekran oturumunu başlatabilir veya sonlandırabilir ve diske yazma paketini açabilir.
Bu kampanyada kullanılan açıklardan yararlanmaların karmaşıklığı göz önüne alındığında, ESET araştırmacıları, bu operasyonun arkasındaki grubun yüksek teknik yeteneklere sahip olduğu sonucuna vardı. DazzleSpy'ın uçtan uca şifrelemeyi zorlaması da ilginçtir. Sonuç olarak, birisi şifrelenmemiş iletimi dinlemeye çalışırsa, kötü amaçlı program komuta ve kontrol (C&C) sunucusuyla iletişim kurmaz.
Dazzlespy'nin arkasındaki bilgisayar korsanları hakkında bir başka ilginç bulgu da, kötü amaçlı yazılımın güvenliği ihlal edilmiş bir bilgisayarda geçerli tarih ve saati elde ettikten sonra, yakalanan tarihi C&C sunucusuna göndermeden önce Asya/Şanghay saat dilimine dönüştürmesidir. Ek olarak, DazzleSpy kötü amaçlı yazılımı bir dizi Çince dahili mesaj içerir.
Daha fazlası ESET.com'da
ESET Hakkında ESET, merkezi Bratislava'da (Slovakya) bulunan bir Avrupa şirketidir. 1987'den beri ESET, 100 milyondan fazla kullanıcının güvenli teknolojilerden yararlanmasına yardımcı olan ödüllü güvenlik yazılımı geliştirmektedir. Geniş güvenlik ürünleri portföyü, tüm büyük platformları kapsar ve dünya çapındaki işletmelere ve tüketicilere performans ile proaktif koruma arasında mükemmel bir denge sunar. Şirketin 180'den fazla ülkede küresel bir satış ağı ve Jena, San Diego, Singapur ve Buenos Aires'te ofisleri bulunmaktadır. Daha fazla bilgi için www.eset.de adresini ziyaret edin veya bizi LinkedIn, Facebook ve Twitter'da takip edin.