Mac’inize EXE bulaşması

Nisan 9, 2019

Daha önce defalarca söylediğimiz gibi, macOS’un zarar verilemez olduğu fikri bir mitten ibarettir. Son zamanlarda siber suçlular, macOS’un yerleşik koruma mekanizmasının etrafından dolanmak için yeni bir yol daha buldu. Virüs bulaşan sistemle ilgili topladıkları verileri, normalde yalnızca Windows’ta çalışan EXE uzantısına sahip dosyaları kullanan reklam yazılımlarına yerleştirdiler. Mac kullanıcılarına virüs bulaştıran bir EXE dosyası mı? Tuhaf ama bu yöntem gerçekten de işe yarıyor.

Bir bulaşma öyküsü: Kötü amaçlı EXE yazılımlarıyla dolu korsan bir güvenlik duvarı

İronik olan, kötü amaçlı yazılımın herhangi bir yere değil, bir güvenlik ürününün, Little Snitch güvenlik duvarının korsan bir kopyasına eklenmiş olması. Tahmin edilebileceği üzere, lisans için para ödemekten kaçınan kullanıcıların başı ağrıdı.

Güvenlik duvarının virüslü sürümleri, torrent kullanılarak yayıldı. Kurbanlar, bilgisayarlarına DMG formatında bir disk görüntüsü içeren ZIP dosyaları indirdi. Buraya kadar her şey normal. Fakat bu DMG dosyasının içeriğine daha yakından bakınca, içinde belirli bir intaller.exe bulunan MonoBundle klasörü olduğu ortaya çıkıyor. Bu, normal bir macOS nesnesi değil; EXE dosyaları genelde Mac cihazlarda çalışmaz.

Gatekeeper buna göz yumuyor

Hatta macOS, yürütülebilir Windows dosyalarını macOS’ta o kadar desteklemiyor ki, Gatekeeper (şüpheli programların çalışmasını önleyen bir macOS güvenlik özelliği) EXE dosyalarını görmezden geliyor. Bu gayet anlaşılabilir: Aktif olmadığı apaçık dosyaları tarayarak sistemi aşırı yüklemek pek de mantıklı değil; hele ki Apple’ın satış noktalarından birinin işletim hızı olduğu düşünülürse.

İşin içinde bir “ama” olmasa her şey yolunda olabilirdi, “ama”: Birçok program Windows için mevcut ve bazen Mac kullanıcıları da bunlardan bazılarına ihtiyaç duyuyor. Bu yüzden platforma özgü olmayan dosyaları çalıştırmak için çeşitli çözümler var. Kullanıcıların Windows uygulamalarını macOS da dahil diğer işletim sistemlerinde çalıştırmasını sağlayan ücretsiz bir sistem olan Mono altyapısı, bunlardan biri.

Tahmin edebileceğiniz gibi, siber suçluların kendi çıkarları doğrultusunda kötüye kullandığı şey işte bu altyapı. Genelde altyapının bilgisayara ayrıca kurulması gerekir, fakat bu siber sahtekarlar bunu kötü amaçlı yazılımlarla birlikte paketlemenin bir yolunu bulmuşlar (MonoBundle klasöründeki kötü niyetli EXE’yi hatırlayın). Sonuç olarak kötü amaçlı yazılım, sahipleri yalnızca yerel programlar kullanan Mac’lerde bile başarıyla çalışıyor.

Bir bulaşma öyküsü: Casus yazılımlar ve reklam yazılımları

Kurulumun ardından kötü amaçlı yazılım ilk önce virüs bulaşan sistemle ilgili bilgi topluyor. Siber suçlular modelin adıyla, cihazın kimliğiyle, işlemci özellikleriyle, RAM’le ve başka birçok şeyle ilgileniyor. Kötü amaçlı yazılım aynı zamanda kurulu uygulamalarla ilgili bilgiler de topluyor ve bunları C&C sunucusuna gönderiyor.

Eş zamanlı olarak, bulaştığı bilgisayara Adobe Flash Media Player ya da Little Snitch maskesi altında çok sayıda görüntü de indiriyor. İndirdiği bu görüntüler aslında sizi reklama boğacak sıradan reklam yazılımı araçları.

Nasıl korunulur

Bu öyküden çıkarılacak ders basit: Bilgi teknolojileri dünyasında hiçbir sistem tamamen güvenli değildir. Ve ne kadar güvenilir görülürse görülsün, yerleşik güvenlik özelliklerine gözü kapalı güvenilmemelidir. İşte bilgisayarınızı kötü amaçlı kurnaz yazılımlara karşı nasıl koruyabileceğinize dair birkaç ipucu:

  • Uygulamaların korsan sürümlerini kurmayın. Bir programa gerçekten ihtiyacınız varsa ve gerçekten ücretini ödemeye hazır değilseniz, önce ücretsiz bir alternatif bulmayı deneyin.
  • Programları daima resmi kaynaklardan, yani App Store’dan ve geliştiricilerin web sitelerinden indirin.
  • Bir uygulamayı resmi olmayan bir kaynaktan, örneğin yukarıda değinildiği gibi bir torrent izleyicisinden indirmeye karar verirseniz tam olarak ne indirdiğinizi kontrol ettiğinizden emin olun. Kurulum paketindeki “ekstra” dosyalardan kuşku duyun.
  • Şüpheli görünen tüm dosyaları tarayan, hiçbirini atlamayan, güvenilir bir antivirüs çözümü kullanın.