SHub macOS kötü amaçlı yazılımının yeni bir varyantı, AppleScript kullanarak sahte bir güvenlik güncellemesi mesajı gösteriyor ve sisteme bir arka kapı yerleştiriyor. SHub Reaper adı verilen yeni sürüm, hassas tarayıcı verilerini çalarken finansal detaylar içerebilecek belgeleri ve dosyaları topluyor, ayrıca kripto para cüzdan uygulamalarını ele geçiriyor. SentinelOne araştırmacıları tarafından tespit edilen bu tehdit, önceki SHub kampanyalarından farklı olarak Terminal tabanlı mitigasyonları atlayan yeni bir teknik kullanıyor.

SHub Reaper AppleScript ile Terminal Korumalarını Aşıyor

Daha önceki SHub kampanyaları, kullanıcıları Terminal’de komut yapıştırıp çalıştırmaya kandıran “ClickFix” taktiklerine dayanıyordu. SHub Reaper ise applescript:// URL şemasını kullanarak macOS Betik Düzenleyici’yi kötü amaçlı bir AppleScript ile önceden yüklenmiş şekilde başlatıyor. Bu AppleScript saldırısı, Apple’ın Mart 2026 sonunda macOS Tahoe 26.4 ile birlikte getirdiği ve zararlı komutların yapıştırılıp çalıştırılmasını engelleyen Terminal tabanlı güvenlik önlemlerini tamamen atlıyor.

Zararlı AppleScript

Saldırganlar, kullanıcıları WeChat ve Miro uygulamaları için sahte yükleyicilerle kandırıyor. Bu yükleyiciler, deneyimsiz kullanıcılara meşru görünecek şekilde oluşturulmuş alan adlarında barındırılıyor. Şu anda sahte QQ ve Microsoft alan adları hala sahte WeChat yükleyicileri sunarken Miro platformunu taklit eden alan adı ise meşru web sitesine yönlendiriyor. Windows ve Android için indirme düğmelerinin aynı Dropbox hesabında barındırılan çalıştırılabilir dosyayı sunduğu da tespit edildi.

👉️ İlginizi Çekebilir: Microsoft KB5089549 Windows 11 Güvenlik Güncellemesinin Kurulum Sorunlarını Doğruladı

XProtect Sahte Mesajı ile Kullanıcılar Kandırılıyor

Kurban ‘Çalıştır’ düğmesine tıkladığında, betik XProtect sahte mesajı niteliğinde bir Apple güvenlik güncellemesi uyarısı gösteriyor. Ardından ‘curl’ kullanarak bir kabuk betiği indiriyor ve ‘zsh’ aracılığıyla sessizce çalıştırıyor. Veri hırsızlığı mantığını devreye sokmadan önce, macOS kötü amaçlı yazılım kurbanın Rusça klavye veya giriş kullanıp kullanmadığını kontrol ediyor. Eşleşme bulunursa, sistem “cis_blocked” olayını komuta ve kontrol sunucusuna bildirip enfeksiyon olmadan sonlanıyor.

Filegrabber modülü

Eğer sistem Rus değilse, Reaper veri hırsızlığı rutini içeren kötü amaçlı AppleScript’i alıp macOS’a yerleşik osascript komut satırı aracını kullanarak çalıştırıyor. Başlatıldığında, kullanıcıdan macOS parolasını istiyor. Bu parola daha sonra Keychain öğelerine erişmek, kimlik bilgilerinin şifresini çözmek ve korunan verilere ulaşmak için kullanılabiliyor.

Kötü amaçlı yazılım, Google Chrome, Mozilla Firefox, Brave, Microsoft Edge, Opera, Vivaldi, Arc ve Orion gibi birçok tarayıcıdan veri topluyor. MetaMask ve Phantom gibi kripto cüzdan ele geçirme teknikleriyle tarayıcı uzantılarını hedef alırken 1Password, Bitwarden ve LastPass gibi parola yöneticisi uzantılarını da çalıyor. Exodus, Atomic Wallet, Ledger Live, Electrum ve Trezor Suite gibi masaüstü kripto para cüzdanı uygulamaları ile iCloud hesap verileri ve Telegram oturum bilgileri de ele geçirilebiliyor.

Reaper ayrıca Masaüstü ve Belgeler klasörlerinde hassas bilgi içerme olasılığı yüksek dosya türlerini arayan bir “Filegrabber” modülü içeriyor. Cüzdan uygulamaları mevcut olduğunda, süreçlerini sonlandırarak ve meşru çekirdek uygulama dosyasını komuta ve kontrol sunucusundan indirilen kötü amaçlı bir dosyayla değiştirerek ele geçiriyor.

Cüzdan enjeksiyon kodu

LaunchAgent Kalıcılığı ve Savunma İçin Öneriler

Gatekeeper uyarılarından kaçınmak için SHub Reaper, karantina niteliklerini temizliyor ve değiştirilen uygulama paketinde geçici kod imzalama kullanıyor. SentinelOne, LaunchAgent kalıcılığı sağlamak amacıyla kötü amaçlı yazılımın Google güncellemesini taklit eden bir betik yüklediğini belirtiyor. Her dakika çalıştırılan betik, sistem bilgilerini C2’ye gönderen bir sinyal görevi görüyor.

Betik bir yük alırsa, bunu mevcut kullanıcı bağlamında kodlayıp çalıştırabiliyor ve ardından dosyayı siliyor. Bu durum saldırgana makineye genişletilmiş erişim imkanı tanıyor. SHub operatörünün, bilgi hırsızının yeteneklerini, ele geçirilen cihazlara uzaktan erişimi de içerecek şekilde genişlettiği ve bunun ek kötü amaçlı yazılım getirilmesine olanak sağlayabileceği belirtiliyor.

Araştırmacılar, savunmacıların yeni SHub Reaper varyantı ile ilişkili kötü amaçlı davranışlara karşı korunmasına yardımcı olacak bir dizi tehlike göstergesi sağladı. SentinelOne, Betik Düzenleyici yürütülmesinden sonra şüpheli çıkış trafiğini veya güvenilir satıcıların ad alanındaki yeni LaunchAgent’ları ve ilgili dosyaları izlemeyi öneriyor.

Yorum Yap

İlgili Yazılar

VMware Arm İşlemciler İçin ESX Hypervisor Teknoloji Önizlemesini Sessizce Duyurdu
VMware Arm İşlemciler İçin ESX Hypervisor Teknoloji Önizlemesini Sessizce Duyurdu
Gallery

VMware Arm İşlemciler İçin ESX Hypervisor Teknoloji Önizlemesini Sessizce Duyurdu

Windows 11 Sonunda Yeniden Boyutlandırılabilen Görev Çubuğu ve Başlat Menüsüne Kavuşuyor
Windows 11 Sonunda Yeniden Boyutlandırılabilen Görev Çubuğu ve Başlat Menüsüne Kavuşuyor
Gallery

Windows 11 Sonunda Yeniden Boyutlandırılabilen Görev Çubuğu ve Başlat Menüsüne Kavuşuyor

Shai-Hulud Malware’inin Sızdırılan Kodu npm Üzerinden Yeni Bilgi Hırsızlığı Kampanyasını Tetikledi
Shai-Hulud Malware’inin Sızdırılan Kodu npm Üzerinden Yeni Bilgi Hırsızlığı Kampanyasını Tetikledi
Gallery

Shai-Hulud Malware’inin Sızdırılan Kodu npm Üzerinden Yeni Bilgi Hırsızlığı Kampanyasını Tetikledi

Microsoft KB5089549 Windows 11 Güvenlik Güncellemesinin Kurulum Sorunlarını Doğruladı
Microsoft KB5089549 Windows 11 Güvenlik Güncellemesinin Kurulum Sorunlarını Doğruladı
Gallery

Microsoft KB5089549 Windows 11 Güvenlik Güncellemesinin Kurulum Sorunlarını Doğruladı

ITSTACK Hakkında

ITSTACK sizlere Bilgi Teknolojileri konusunda uzman ekibi ile 24/7 hizmet vermek için hazır! Detaylı bilgi için bize ulaşın.