Saldırının Genel Çerçevesi
MacSync adlı macOS veri hırsızı, Apple’ın Gatekeeper ve XProtect gibi yerleşik güvenlik mekanizmalarını atlatmak için dijital olarak imzalanmış ve noter onaylı bir Swift uygulaması kullanıyor. Bu yükleyici, mesajlaşma uygulaması kılığına girerek “zk-call-messenger-installer-3.9.2-lts.dmg” adlı disk imajı dosyası içinde dağıtılıyor ve “zkcall[.]net/download” adresinden temin ediliyor. İmzalı olması, macOS güvenlik kontrollerinin dosyayı engellemesini zorlaştırıyor, ancak kullanıcıların uygulamaya sağ tıklayıp açmaları yönünde talimatlar gösterilerek ek bir güvenlik aşımı sağlanıyor.
Saldırı Zinciri ve Teknik Detaylar
Swift tabanlı yükleyici, internet bağlantısını doğruladıktan sonra yardımcı bir bileşen aracılığıyla şifrelenmiş bir betiği indirip çalıştırıyor. Bu süreçte yaklaşık 3600 saniyelik minimum yürütme süresi ve karantina özelliklerinin kaldırılması gibi kontroller uygulanıyor. Payload alma aşamasında kullanılan curl komutunda önceki varyantlardan farklı olarak -fL ve -sS bayrakları ayrı kullanılıyor ve –noproxy gibi ek seçenekler ekleniyor. Bu değişiklikler, payload’ın güvenilirliğini artırmak veya tespit edilmesini zorlaştırmak amacıyla yapılmış olabilir. Ayrıca, DMG dosyasının içine ilgisiz PDF belgeleri gömülerek dosya boyutu 25,5 MB’a çıkarılıyor, bu da analiz ve tespiti zorlaştıran bir kaçınma mekanizması olarak öne çıkıyor.
Kullanılan Araçlar ve Varyantlar
Payload, Nisan 2025’te ortaya çıkan Mac.c adlı zararlının yeniden markalanmış versiyonu olan MacSync ile eşleşiyor. MacSync, Go programlama diliyle yazılmış tam özellikli bir ajan olup, sadece veri hırsızlığı yapmakla kalmıyor, aynı zamanda uzaktan komut ve kontrol (C2) yetenekleri de sunuyor. Kod imzalı kötü amaçlı DMG dosyalarının Google Meet uygulamasını taklit eden versiyonları da diğer macOS hırsızlarını yaymak için kullanılıyor. Ancak bazı tehdit aktörleri halen imzasız disk imajlarıyla DigitStealer gibi zararlıları dağıtmayı sürdürüyor.
Sistem Yöneticileri ve SOC Ekipleri İçin Pratik Öneriler
- Gatekeeper ve XProtect gibi yerleşik macOS güvenlik çözümlerinin yanı sıra gelişmiş EDR araçlarıyla davranış tabanlı tespit mekanizmalarını entegre edin.
- İmzalı uygulamaların bile kötü amaçlı olabileceğini göz önünde bulundurarak, özellikle DMG dosyalarının kaynağını ve içeriğini detaylı inceleyin.
- Uygulama yükleme süreçlerinde kullanıcıların sağ tıklama ve manuel onay verme adımlarını zorunlu kılan politikalar geliştirin ve kullanıcı eğitimleri düzenleyin.
- Network trafiğinde anormal curl komutları ve şüpheli C2 iletişimlerini SIEM sistemleriyle izleyin.
- Dosya karantina özelliklerinin kaldırılması gibi davranışları tespit etmek için sistem loglarını düzenli olarak analiz edin.
- Bulut güvenliği ve ağ segmentasyonu uygulayarak zararlı yazılımın yayılmasını sınırlandırın.
- Olay müdahale (incident response) planlarınızı güncelleyerek macOS ortamlarına özgü tehditlere karşı hazırlıklı olun.
- Çok faktörlü kimlik doğrulama (MFA) ve Zero Trust mimarisi uygulamalarını genişletin.
Teknik Özet
- Kullanılan zararlılar: MacSync (Mac.c yeniden markalanmış versiyonu), DigitStealer
- Hedeflenen platform: macOS cihazlar
- Dağıtım yöntemi: İmzalı ve noter onaylı Swift tabanlı yükleyici ile DMG dosyası
- Saldırı zinciri: İmzalı yükleyici aracılığıyla şifrelenmiş betik indirme ve çalıştırma, C2 iletişimi
- Kullanılan teknikler: Gatekeeper atlatma, karantina kaldırma, uzun yürütme süresi, payload alma için gelişmiş curl parametreleri
- Önerilen savunma: EDR ve SIEM entegrasyonu, kullanıcı eğitimi, uygulama imza doğrulaması, ağ segmentasyonu, MFA