Mosyle, Antivirüs Motorlarına Görünmeyen İki Yeni macOS Tehditini Belirledi

Geçen Eylül ayında 9to5Mac ile ModStealer hakkında özel detaylar paylaşan Mosyle, Apple cihaz yönetimi ve güvenliğinde bir lider olarak, tamamen radarın altında uçan iki yeni macOS tehdidi ile geri döndü.

Yine 9to5Mac ile paylaşılan yeni detaylara göre, Mosyle Güvenlik Araştırma Ekibi, daha önce tespit edilmemiş iki örnek belirledi: Phoenix Worm, çoklu platformda çalışan bir stager ve ShadeStager, kimlik bilgisi hırsızlığı için tasarlanmış modüler bir macOS implantı. Bu ikisi, çalışma şekilleri açısından doğrudan bağlantılı olmasalar da, Mac kötü amaçlı yazılımlarının ne kadar sofistike hale geldiğini göstermektedir.

Buradaki zamanlama, sektörün geri kalanının gördüğü ile örtüşüyor. Daha önce bildirdiğim gibi, infostealer'lar ve Atomic Stealer gibi truva atları, son bir yıl içinde Mac üzerinde baskın kötü amaçlı yazılım hikayesi oldu; saldırganlar, gürültülü saldırılardan uzaklaşarak kalıcılığa yöneliyor. Phoenix Worm ve ShadeStager tam olarak bunu yapıyor.

Phoenix Worm, gizli bir stager

Adına ters düşen Phoenix Worm, burada tam anlamıyla bir stager. Golang tabanlı çoklu platform kötü amaçlı yazılımı olan bu yazılım, bir stager olarak işlev görmek üzere inşa edilmiştir. Stager'lar, temelde kalıcılığı sağlamak ve ikinci bir saldırı dalgası için hazırlık yapmak amacıyla hafif başlangıç yükleri olarak tanımlanabilir. Tam yükü baştan bırakmak yerine, önce sessizce bir ayak bağı oluşturur. Bunu yapmanın birçok avantajı vardır.

Mosyle'ye göre, Phoenix Worm'un temel işlevselliği şunları içerir:

Uzak bir komut ve kontrol (C2) sunucusu ile iletişim kurmak
Enfekte sistemler için benzersiz tanımlayıcılar oluşturmak
Sistem verilerini saldırganlara iletmek
Uzak güncellemeleri ve ek yük yürütmeyi desteklemek

Phoenix Worm, Mosyle'nin 9to5Mac ile yaptığı açıklamaya göre, bağımsız bir tehdit gibi görünmüyor. Tasarımı, daha gelişmiş yüklerin saldırı zincirinin daha ilerisine devredilmek üzere daha geniş bir araç setinin parçası olduğunu güçlü bir şekilde önermektedir.

Analiz zamanında, macOS veya Linux varyantlarının hiçbir antivirüs motoru tarafından tespit edilmediği, yalnızca Windows üzerinde sınırlı bir tespit olduğu belirtildi.

ShadeStager, kimlik bilgisi hırsızlığı için inşa edildi

ShadeStager, zaten ele geçirilmiş sistemlerden yüksek değerli verileri çıkarmak için tasarlanmış bir post-exploitation aracıdır. Bu, Phoenix Worm ile mükemmel bir eşleşme gibi görünse de, Mosyle bu ikisinin bağlantılı olmadığını belirtiyor.

Aslında, ShadeStager, geliştirici ortamlarına ve bulut altyapısına odaklanmış gibi görünüyor. Özellikle hedef aldığı şeyler şunlardır:

SSH anahtarları ve bilinen hostlar
AWS, Azure ve GCP'den bulut kimlik bilgileri
Kubernetes yapılandırma dosyaları
Git ve Docker kimlik doğrulama verileri
Büyük tarayıcılardaki tam tarayıcı profilleri

Ayrıca, Mosyle'ye göre, ShadeStager, ana bilgisayarda kullanıcı ve ayrıcalık bilgileri, işletim sistemi ve donanım detayları, ağ yapılandırması ve bulut ile SSH oturumlarına bağlı ortam değişkenleri hakkında kapsamlı bir keşif yapmaktadır. Her şey HTTPS üzerinden yapılandırılır ve dışarıya aktarılır; komut yürütme, veri dışarı aktarma ve dosya indirme desteği ile birlikte gelir.

İlginç bir şekilde, ShadeStager, sabit kodlanmış bir C2 adresi içermiyor ve kötü amaçlı yazılımın kodunun bazı bölümleri, Mosyle araştırmacıları tarafından herhangi bir ek ters mühendislik çalışması yapmadan görülebiliyordu. Bu, kötü amaçlı yazılım örneğinin keşif anında hala geliştirilmekte olduğunu güçlü bir şekilde önermektedir.

Özet

Phoenix Worm ve ShadeStager birbirleriyle bağlantılı değiller, ancak aynı saldırı modeline dayanıyorlar. Biri erişim sağlarken, diğeri kimlik bilgilerini ve bulut token'larını çıkarıyor ve keşif anında hiçbir antivirüs motoru tarafından tespit edilmediler.

2026 yılında Mac kötü amaçlı yazılımı bu yöne doğru ilerliyor. Saldırganlar, çoklu platform uyumluluğu için Go ve Rust dillerinde yazım yapıyor, başlangıç erişimini post-exploitation'dan ayıran modüler yükler gönderiyor ve C2 altyapısını dinamik olarak yapılandırıyor, böylece hiçbir statik şey bir imza ile eşleşmiyor. Belirtilmesi gereken en kolay örnek, şüphesiz en popüler ve endişe verici kötü amaçlı yazılım ailesi haline gelen Atomic Stealer'dır. Bu ve varyantları bir süredir bu şekilde çalışıyor ve yaklaşımın alakasız örneklerde de ortaya çıktığı görülüyor.

İmza tabanlı antivirüs artık yeterli değil. Davranışsal tespit ve gerçek zamanlı görünürlük, bugün macOS ortamlarını savunan yöneticiler ve güvenlik ekipleri için temel bir gereklilik olmalıdır.

Tehdit Belirtileri

Mac yöneticileri, bu tehditleri güvenlik araçlarına eklemek istediklerinde, Mosyle aşağıdaki SHA256 hash'lerini paylaşmıştır:

ShadeStager: 7e8003bee92832b695feb7ae86967e13a859bdac4638fa76586b9202df3d0156
Phoenix Worm: 54ef0c8d7e167053b711853057e3680d94a2130e922cf3c717adf7974888cad2

Arin Waichulis'i takip edin: LinkedIn, Threads, X

Apple güvenlik araştırmacıları ve uzmanlarıyla derinlemesine incelemeler ve röportajlar için 9to5Mac Güvenlik Bite Podcast'ine abone olun:

Apple Podcasts
Spotify
Pocket Casts
RSS Feed

Yorumlar

(7 Yorum)

SY

Selen Yıldırım

Bu yeni tehditler hakkında daha fazla bilgi almak için sabırsızlanıyorum. macOS güvenliği gerçekten önemli bir konu.
EÇ

Erdem Çelik

Phoenix Worm ve ShadeStager hakkında daha fazla detay verilmesi güzel olurdu. Özellikle nasıl tespit edileceği merak ediyorum.
ZK

Zeynep Korkmaz

Mosyle'nin bu keşifleri, macOS kullanıcıları için çok önemli. Antivirüs yazılımlarının yetersiz kaldığı bir dönemdeyiz.
MA

Mertcan Aydın

Kötü amaçlı yazılımların gelişimi gerçekten korkutucu. Bu tehditlere karşı nasıl önlem alabiliriz?
DŞ

Derya Şenol

Güvenlik alanında bu kadar hızlı değişim yaşanması, teknoloji kullanıcıları için büyük bir risk. Daha fazla bilgi bekliyorum.
BT

Barış Tunca

Bu tür yazılımların tespiti için daha fazla eğitim ve kaynak sağlanmalı. Kullanıcılar ne yapacaklarını bilmiyor.
KK

Kıvanç Kıral

Mosyle'nin bu bulgularını dikkate almak lazım. Kötü amaçlı yazılımlar her geçen gün daha da sofistike hale geliyor.