Kaspersky araştırmacıları, iki popüler Çinli mesajlaşma platformu WeChat ve DingTalk kullanıcılarını hedef alan HZ Rat arka kapısının macOS varyantını tespit etti. İlk olarak Windows sistemlerinde tespit edilen zararlı yazılım, artık macOS’u da tehdit ederek potansiyel olarak yanal ağ hareketine ve veri hırsızlığına olanak sağlıyor.
HZ Rat’in macOS sürümü sahte bir “OpenVPN Connect” uygulama yükleyicisi aracılığıyla dağıtılıyor. Bu yükleyici, yasal VPN istemcisinin yanı sıra iki kötü amaçlı dosya içeriyor: Arka kapının kendisi ve VPN istemcisiyle birlikte arka kapıyı başlatan bir komut dosyası. Arka kapı başlatıldıktan sonra, önceden belirlenmiş bir IP adresi listesini kullanarak saldırganların sunucusuna bağlanıyor ve tespit edilmesini önlemek için tüm iletişimi şifreliyor.
Kaspersky Zararlı Yazılım Analisti Sergey Puzan, şunları söylüyor: “Kaspersky uzmanlarının analizleri, macOS arka kapısının DingTalk ve WeChat’in korumasız veri dosyalarından kurbanın kullanıcı adı, iş e-posta adresi ve telefon numarası gibi bilgileri topladığını gösteriyor. Zararlı yazılım şu anda yalnızca veri toplarken, bazı sürümler saldırganların sunucusuyla iletişim kurmak için yerel IP adreslerini kullanıyor ve bu da kurbanın ağı içinde yanal hareket potansiyeline işaret ediyor. Bu aynı zamanda saldırganların hedefli saldırılar planlıyor olabileceğini de gösteriyor.”
HZ Rat ilk olarak Kasım 2022’de, DCSO araştırmacıları kötü amaçlı yazılımın Windows sürümünü keşfettiğinde ortaya çıkmıştı. MacOS HZ Rat varyantının keşfi, daha önceki Windows saldırılarının arkasındaki grubun hala aktif olduğunu gösteriyor. Nihai hedefleri henüz belli olmasa da, toplanan veriler gelecekteki saldırıları sahnelemek için istihbarat toplamak amacıyla kullanılabilir.
HZ Rat vakası hakkında daha fazla bilgi için Securelist.com adresini ziyaret edin.
Kaspersky, HZ Rat gibi kötü amaçlı yazılım bulaşmalarının risklerini azaltmak için aşağıdakileri öneriyor:
- Uygulamalarınızı yalnızca resmi mağazalardan indirmek daha güvenlidir. Bu marketlerdeki uygulamalar %100 güvenli değildir, ancak en azından mağaza temsilcileri tarafından kontrol edilirler ve bazı filtreleme sistemleri vardır. Her uygulama bu mağazalara giremez.
- Korumanıza büyük bir titizlikle yaklaşın ve ek güçlendirme seçeneklerini değerlendirin. İstenmeyen uygulamaların, web sitelerinin ve çevre birimlerinin kullanımını sınırlandıran uygulama, web ve cihaz kontrollerine sahip siber güvenlik çözümlerini kullanın ve çalışanların gölge BT kullandığı veya siber güvenlik alışkanlıklarının olmaması nedeniyle hata yaptığı durumlarda bile bulaşma risklerini önemli ölçüde azaltın.
- Şirketinizi çeşitli tehditlere karşı korumak için, her büyüklükteki ve sektördeki kuruluşlar için gerçek zamanlı koruma, tehdit görünürlüğü, EDR ve XDR’nin araştırma ve yanıt yeteneklerini sağlayan Kaspersky Next ürün serisindeki çözümleri kullanın. Mevcut ihtiyaçlarınıza ve mevcut kaynaklarınıza bağlı olarak, en uygun ürün katmanını seçebilir ve siber güvenlik gereksinimleriniz değişirse kolayca başka bir ürüne geçebilirsiniz.
- Tüm kişisel bilgisayarlarınızda ve mobil cihazlarınızda Kaspersky Premium gibi güçlü bir güvenlik çözümü kullanın. Kaspersky çözümleri düzenli olarak ödüllendirilir ve bağımsız testlerde liderdir.
- Saldırganların güvenlik açıklarından yararlanarak ağınıza sızmasını önlemek için kullandığınız tüm cihazlardaki yazılımları her zaman güncel tutun.
