macOS kullanıcıları, son dönemde ortaya çıkan yeni bir fidye yazılımı tehdidiyle karşı karşıya. macOS.NotLockBit adı verilen bu zararlı yazılım, Apple’ın yerleşik güvenlik önlemlerine rağmen dosya şifreleme ve veri çalma yetenekleriyle dikkat çekiyor. İlk olarak Trend Micro tarafından keşfedilen ve SentinelLabs tarafından detaylı şekilde incelenen bu tehdit, Mac cihazları için artan bir risk oluşturuyor.
Fidye yazılımı Mac kullanıcılarını nasıl etkiliyor?
Uzun yıllar boyunca fidye yazılımları genellikle Windows ve Linux kullanıcılarını hedef aldı. Ancak, macOS.NotLockBit’in ortaya çıkışı, saldırganların Mac kullanıcılarını daha sofistike yöntemlerle hedef almaya başladığını gösteriyor. Bu zararlı yazılım, özellikle Intel tabanlı Mac’ler veya Rosetta emülasyonu yüklü Apple Silicon cihazlarda çalışabiliyor.
macOS.NotLockBit, cihaz bilgilerini topladıktan sonra dosyaları şifrelemeden önce verileri uzaktaki bir sunucuya aktarmayı deniyor. Bu işlem sırasında Amazon Web Services (AWS) S3 depolama kullanılıyor. Saldırganlar, şifreleme için asimetrik şifreleme yöntemleri uygulayarak, özel bir anahtar olmadan dosyaların çözülmesini neredeyse imkânsız hale getiriyor.
Şifrelenen dosyalar “.abcd” uzantısıyla işaretleniyor ve her dizine bir README.txt dosyası bırakılıyor. Bu dosya, mağdurlara dosyalarını nasıl kurtarabilecekleri konusunda bilgi veriyor ve genellikle fidye ödenmesini talep ediyor. Yazılımın son sürümlerinde, masaüstü arka planında LockBit 2.0 temalı bir duvar kağıdı gösteriliyor, bu da zararlı yazılımın daha bilinen bir tehdit olan LockBit fidye yazılımıyla ilişkilendirilmesine neden oluyor.
Apple’ın Şeffaflık, Onay ve Kontrol (TCC) koruma sistemi, macOS.NotLockBit’in tam kapasiteyle çalışmasını zorlaştırıyor. TCC, kullanıcıdan izin almadan hassas dizinlere erişim sağlanmasına veya sistem olaylarını kontrol etmesine izin vermiyor. Ancak uzmanlar, bu koruma katmanının aşılmasının imkânsız olmadığını ve gelecekteki sürümlerde zararlı yazılımın bu engelleri aşacak yöntemler geliştirebileceğini öngörüyor.
Araştırmacılar, macOS.NotLockBit’in hâlâ aktif geliştirme sürecinde olduğunu ve her yeni sürümde daha fazla özellik kazandığını belirtiyor. İlk sürümler yalnızca şifreleme üzerine odaklanmışken, sonraki versiyonlar veri çalma özellikleri ve daha karmaşık kod gizleme teknikleri ekledi. Ayrıca, son sürümlerde macOS Sonoma gibi daha yeni macOS sürümlerine yönelik optimize edilmiş yöntemler bulunuyor.
Şu ana kadar macOS.NotLockBit’in nasıl yayıldığına dair kesin bir bilgi bulunmuyor ve bilinen mağdurlar henüz rapor edilmedi. Ancak saldırganların yazılımı geliştirmeye devam ettiği göz önüne alındığında, Mac kullanıcılarının bu tür tehditlere karşı daha dikkatli olması gerekiyor. Güncel işletim sistemi sürümleri ve güçlü bir güvenlik yazılımı kullanmak, bu tür tehditlere karşı alınabilecek en etkili önlemler arasında yer alıyor.
