macOS kullanıcılarını hedef alan yeni bir siber saldırı kampanyası ortaya çıktı. Palo Alto Networks Unit 42 araştırmacıları, saldırganların sahte doğrulama ekranları üzerinden kullanıcıları kandırarak Atomic macOS Stealer zararlısını cihazlara yüklediğini açıkladı. Güvenlik uzmanları, kampanyanın Terminal üzerinden çalıştırılan tek bir komutla başladığını belirtirken saldırının tarayıcı verilerinden kripto para cüzdanlarına kadar geniş bir veri yelpazesini hedeflediğini aktardı.

Sahte Doğrulama Ekranları Kullanıcıları Tuzağa Düşürüyor

Palo Alto Networks araştırmacıları, saldırının ilk aşamasında kullanıcıların karşısına çıkan sahte CAPTCHA ekranlarını inceledi. Saldırganlar, doğrulama işlemi yapıldığı izlenimi oluştururken kullanıcılardan macOS Terminal uygulamasını açmalarını ve ekranda gösterilen komutu çalıştırmalarını istiyor. Güvenlik ekipleri, son dönemde yaygınlaşan ClickFix tekniğinin temel amacının kullanıcıları kendi elleriyle zararlı işlemleri başlatmaya ikna etmek olduğunu belirtiyor.

Araştırmacılar, çalıştırılan komutun saldırgan kontrolündeki bir sunucudan zararlı bir disk görüntüsü indirdiğini tespit etti. Saldırı zinciri, indirilen dosyayı sistemin geçici klasörüne kaydederken macOS’un yerleşik araçlarını kullanarak disk görüntüsünü sessiz şekilde bağlayabiliyor. Sistem üzerinde görünür bir kurulum süreci yaşanmadan ilerleyen saldırı, kullanıcı fark etmeden bir sonraki aşamaya geçiyor.

Saldırı senaryosunda kullanılan yöntem, geleneksel macOS zararlı yazılımlarından farklı bir yaklaşım izliyor. Zararlı kod, DMG tabanlı zararlı yazılım tekniğini kullanırken disk görüntüsünü masaüstünde göstermeden çalıştırabiliyor. Araştırmacılar, saldırı komutunun bağlanan disk görüntüsü içerisinde uygulama veya kurulum paketi aradığını, uygun dosya bulunduğu anda otomatik çalıştırma sürecini başlattığını belirtiyor. Güvenlik uzmanları, saldırıda kullanılan örneklerden birinin sahte imzalı bir uygulama içerdiğini ortaya çıkardı. Saldırganlar, kullanıcıların güvenlik şüphesini azaltmak amacıyla meşru uygulamaları andıran dosya isimleri kullanırken macOS’un yerleşik araçlarından yararlanarak faaliyetlerini gizlemeye çalışıyor.

Araştırmacılar, kampanyada kullanılan yükün Atomic macOS Stealer ailesine ait olduğunu doğruladı. Söz konusu zararlı yazılım, tarayıcı çerezlerini, kayıtlı parolaları, oturum belirteçlerini, otomatik doldurma verilerini ve ödeme kartı bilgilerini toplamaya odaklanıyor. Zararlı yazılım ayrıca kullanıcıların sistem parolasını ele geçirmek amacıyla sahte bir Sistem Tercihleri kimlik doğrulama penceresi gösteriyor.

Google Chrome, Microsoft Edge, Brave, Opera, Arc, Vivaldi, CocCoc ve Yandex gibi Chromium tabanlı tarayıcılar saldırının hedefleri arasında bulunuyor. Aynı kampanya kapsamında LibreWolf, SeaMonkey, Tor Browser, Waterfox ve Zen Browser gibi Firefox türevi tarayıcılardaki veriler de hedef alınıyor. Güvenlik araştırmacıları, modern bilgi hırsızlarının artık yalnızca kullanıcı adı ve parola peşinde koşmadığını, oturum belirteçleri sayesinde çok faktörlü kimlik doğrulama mekanizmalarını da aşmaya çalıştığını vurguluyor.

Kripto Para Cüzdanları İçin Ek Risk Oluşturuyor

Araştırma ekibi, saldırının kripto varlık sahipleri açısından daha büyük risk taşıdığını belirtiyor. Zararlı yazılım; Exodus, Electrum, Atomic Wallet, Wasabi Wallet, Bitcoin Core, Litecoin Core, DashCore, Guarda, Binance Wallet, Dogecoin Wallet ve TonKeeper gibi çok sayıda cüzdan uygulamasını tarıyor. Siber suçlular, cihazlarda saklanan cüzdan verilerini ele geçirerek dijital varlıklara erişim sağlamayı amaçlıyor. Araştırmacılar, saldırının yalnızca cüzdan dosyalarıyla sınırlı kalmadığını da ortaya koydu. Zararlı yazılım; Telegram Desktop, Discord, Apple Notes, Safari çerezleri, Apple Keychain veritabanı ile PDF, TXT ve RTF uzantılı belgeleri de topluyor. Saldırganlar, elde edilen verileri sıkıştırılmış arşiv dosyalarına dönüştürdükten sonra komuta kontrol sunucularına gönderiyor.

👉️ İlginizi Çekebilir: FortiGate Cihazlarını Hedef Alan FortiBleed Operasyonu 430 Binden Fazla Sisteme Ulaştı

Araştırma raporunda öne çıkan bir diğer ayrıntı ise Ledger Live ve Trezor Suite uygulamalarının sahte sürümlerle değiştirilebilmesi oldu. Güvenlik ekipleri, bu yöntemin doğrudan kripto para hırsızlığı amacıyla kullanılabileceğini değerlendiriyor.

Siber güvenlik sektörü, son iki yılda ClickFix tabanlı saldırılarda belirgin bir artış gözlemliyor. Saldırganlar, sahte tarayıcı hataları, güvenlik uyarıları veya doğrulama ekranları hazırlayarak kullanıcıları kendi komutlarını çalıştırmaya yönlendiriyor. Aynı yöntem daha önce Windows kullanıcılarını hedef alan kampanyalarda da kullanılmıştı. Uzmanlar, hiçbir web sitesinin kullanıcıdan Terminal üzerinden rastgele komut çalıştırmasını istememesi gerektiğini hatırlatıyor. Kullanıcıların anlamını bilmediği komutları çalıştırmaktan kaçınması, benzer saldırılara karşı en etkili savunma yöntemlerinden biri olarak görülüyor. Yapay zekâ destekli oltalama tekniklerinin yaygınlaşmasıyla birlikte sosyal mühendislik odaklı kampanyaların macOS ekosisteminde daha sık görülmesi bekleniyor.