12 Eylül 2024
Kaspersky araştırmacıları, iki popüler Çinli mesajlaşma platformu WeChat ve DingTalk kullanıcılarını hedef alan HZ Rat arka kapısının macOS varyantını tespit etti. İlk olarak Windows sistemlerinde tespit edilen zararlı yazılım, artık macOS’u da tehdit ederek potansiyel olarak yanal ağ hareketine ve veri hırsızlığına olanak sağlıyor.
HZ Rat’in macOS sürümü sahte bir “OpenVPN Connect” uygulama yükleyicisi aracılığıyla dağıtılıyor. Bu yükleyici, yasal VPN istemcisinin yanı sıra iki kötü amaçlı dosya içeriyor: Arka kapının kendisi ve VPN istemcisiyle birlikte arka kapıyı başlatan bir komut dosyası. Arka kapı başlatıldıktan sonra, önceden belirlenmiş bir IP adresi listesini kullanarak saldırganların sunucusuna bağlanıyor ve tespit edilmesini önlemek için tüm iletişimi şifreliyor.
Kaspersky Zararlı Yazılım Analisti Sergey Puzan, şunları söylüyor: “Kaspersky uzmanlarının analizleri, macOS arka kapısının DingTalk ve WeChat’in korumasız veri dosyalarından kurbanın kullanıcı adı, iş e-posta adresi ve telefon numarası gibi bilgileri topladığını gösteriyor. Zararlı yazılım şu anda yalnızca veri toplarken, bazı sürümler saldırganların sunucusuyla iletişim kurmak için yerel IP adreslerini kullanıyor ve bu da kurbanın ağı içinde yanal hareket potansiyeline işaret ediyor. Bu aynı zamanda saldırganların hedefli saldırılar planlıyor olabileceğini de gösteriyor.”
HZ Rat ilk olarak Kasım 2022’de, DCSO araştırmacıları kötü amaçlı yazılımın Windows sürümünü keşfettiğinde ortaya çıkmıştı. MacOS HZ Rat varyantının keşfi, daha önceki Windows saldırılarının arkasındaki grubun hala aktif olduğunu gösteriyor. Nihai hedefleri henüz belli olmasa da, toplanan veriler gelecekteki saldırıları sahnelemek için istihbarat toplamak amacıyla kullanılabilir.
sitesinden daha fazla şey keşfedin
Subscribe to get the latest posts sent to your email.