Kaspersky Tehdit Araştırma grubu, fiyatlı Google arama reklamları ve ChatGPT’nin resmi internet sitesinde paylaşılan sohbetler aracılığıyla Mac kullanıcılarını kandırmayı amaçlayan yeni bir ziyanlı yazılım kampanyası tespit etti. Kelam konusu kampanyada saldırganlar, kullanıcıları AMOS (Atomic macOS Stealer) isimli bilgi hırsızı yazılımı ve kalıcı bir art kapıyı aygıtlarına kendi elleriyle kurmaya yönlendiriyor.
Bu kampanyada saldırganlar, “chatgpt atlas” üzere arama sorguları için sponsorlu reklamlar satın alıyor ve kullanıcıları, chatgpt.com alan ismi üzerinde barındırılan “ChatGPT Atlas for macOS” isimli kelamda bir heyetim rehberine yönlendiriyor. Gerçekte ise bu sayfa, istem mühendisliği (prompt engineering) kullanılarak oluşturulmuş paylaşıma açık bir ChatGPT sohbetinden ibaret. İçerik, sırf adım adım “kurulum” talimatları kalacak biçimde düzenlenmiş durumda. Rehber, kullanıcılardan tek satırlık bir kodu kopyalamalarını, macOS Terminal’i açarak bu komutu yapıştırmalarını ve istenen tüm müsaadeleri vermelerini istiyor.
Kaspersky araştırmacılarının tahliline nazaran, bu komut atlas-extension[.]com isimli harici bir alan isminden bir betik indirip çalıştırıyor. Betik, sistem komutlarını çalıştırmayı deneyerek doğrulama yapmak hedefiyle kullanıcıdan tekrar tekrar sistem parolasını talep ediyor. Hakikat parola girildiğinde ise betik, AMOS bilgi hırsızını indiriyor, ele geçirilen kimlik bilgilerini kullanarak ziyanlı yazılımı sisteme kuruyor ve çalıştırıyor. Bu enfeksiyon süreci, kullanıcıların uzaktaki sunuculardan kod indirip çalıştıran kabuk komutlarını manuel olarak yürütmeye ikna edildiği ClickFix olarak bilinen tekniğin bir varyasyonunu temsil ediyor.
AMOS, heyetimin akabinde maddi kar sağlamak yahut daha sonraki ataklarda kullanılmak üzere çeşitli bilgileri topluyor. Ziyanlı yazılım; tanınan tarayıcılardan parola ve çerezleri, Electrum, Coinomi ve Exodus üzere kripto para cüzdanlarına ilişkin bilgileri, ayrıyeten Telegram Desktop ve OpenVPN Connect üzere uygulamalardan bilgileri gaye alıyor. Bununla birlikte Masaüstü, Evraklar ve İndirilenler klasörlerinde bulunan TXT, PDF ve DOCX uzantılı belgeleri, Notes uygulaması tarafından saklanan evraklarla birlikte tarıyor ve bu dataları saldırganların denetimindeki altyapıya sızdırıyor. Paralel olarak, sistem tekrar başlatıldığında otomatik olarak devreye giren bir art kapı da kuruluyor; bu art kapı saldırganlara uzaktan erişim imkânı sağlıyor ve AMOS ile büyük ölçüde örtüşen bir data toplama mantığıyla çalışıyor.
Bu kampanya, bilgi hırsızı ziyanlı yazılımların 2025 yılının en süratli büyüyen tehditleri arasında yer aldığına işaret eden daha geniş bir eğilimin modülü olarak öne çıkıyor. Saldırganlar, oltalama senaryolarını daha inandırıcı kılmak için yapay zekâ temalarını, düzmece YZ araçlarını ve YZ tarafından üretilmiş içerikleri giderek daha fazla kullanıyor. Son devirde geçersiz YZ tarayıcı kenar çubukları ve tanınan modeller için hazırlanmış uydurma istemci uygulamaları üzere örnekler görülürken, Atlas temalı bu faaliyet, yasal bir YZ platformunun yerleşik içerik paylaşım özelliğinin berbata kullanılmasına kadar uzanıyor.
Kaspersky Ziyanlı Yazılım Analisti Vladimir Gursky, hususla ilgili şunları söyledi: “Bu hadiseyi tesirli kılan öge, gelişmiş bir teknik açık değil; toplumsal mühendisliğin tanıdık bir yapay zekâ bağlamı içinde sunulması. Sponsorlu bir temas, sağlam bir alan ismindeki sistemli bir sayfaya yönlendiriyor ve ‘kurulum rehberi’ tek bir Terminal komutundan ibaret. Birçok kullanıcı için bu inanç ve kolaylık birleşimi, alışıldık temkin düzeneklerini devre dışı bırakmaya yetiyor. Meğer sonuç, sistemin büsbütün ele geçirilmesi ve saldırgan için uzun vadeli erişim manasına geliyor.”
Kaspersky, kullanıcılara şu tekliflerde bulunuyor:
- Özellikle bir web sitesi, evrak ya da sohbet üzerinden tek satırlık bir betiğin kopyalanıp yapıştırılmasını içeren ve Terminal yahut PowerShell çalıştırılmasını isteyen, talep edilmemiş “rehberlere” karşı temkinli olun.
- Talimatlar net değilse bu çeşit sayfaları kapatın yahut bildirileri silin; devam etmeden evvel bilgili bir kaynaktan görüş alın.
- Şüpheli komutları çalıştırmadan evvel, kodun ne yaptığını anlamak için başka bir yapay zekâ yahut güvenlik aracına yapıştırarak incelemeyi değerlendirin.
- macOS ve Linux sistemler dâhil olmak üzere tüm aygıtlarda, Kaspersky Premium gibi saygın bir güvenlik yazılımı kullanarak bilgi hırsızlarını ve bağlantılı ziyanlı yükleri tespit edip engelleyin.
Kaynak: (BYZHA) Beyaz Haber Ajansı
