Kaspersky Tehdit Araştırma takımı, fiyatlı Google arama reklamları ve ChatGPT’nin resmi internet sitesinde paylaşılan sohbetler aracılığıyla Mac kullanıcılarını kandırmayı amaçlayan yeni bir ziyanlı yazılım kampanyası tespit etti. Kelam konusu kampanyada saldırganlar, kullanıcıları AMOS (Atomic macOS Stealer) isimli bilgi hırsızı yazılımı ve kalıcı bir art kapıyı aygıtlarına kendi elleriyle kurmaya yönlendiriyor.
Bu kampanyada saldırganlar, “chatgpt atlas” üzere arama sorguları için sponsorlu reklamlar satın alıyor ve kullanıcıları, chatgpt.com alan ismi üzerinde barındırılan “ChatGPT Atlas for macOS” isimli kelamda bir heyetim rehberine yönlendiriyor. Gerçekte ise bu sayfa, istem mühendisliği (prompt engineering) kullanılarak oluşturulmuş paylaşıma açık bir ChatGPT sohbetinden ibaret. İçerik, sadece adım adım “kurulum” talimatları kalacak halde düzenlenmiş durumda. Rehber, kullanıcılardan tek satırlık bir kodu kopyalamalarını, macOS Terminal’i açarak bu komutu yapıştırmalarını ve istenen tüm müsaadeleri vermelerini istiyor.
Kaspersky araştırmacılarının tahliline nazaran, bu komut atlas-extension[.]com isimli harici bir alan isminden bir betik indirip çalıştırıyor. Betik, sistem komutlarını çalıştırmayı deneyerek doğrulama yapmak gayesiyle kullanıcıdan tekrar tekrar sistem parolasını talep ediyor. Yanlışsız parola girildiğinde ise betik, AMOS bilgi hırsızını indiriyor, ele geçirilen kimlik bilgilerini kullanarak ziyanlı yazılımı sisteme kuruyor ve çalıştırıyor. Bu enfeksiyon süreci, kullanıcıların uzaktaki sunuculardan kod indirip çalıştıran kabuk komutlarını manuel olarak yürütmeye ikna edildiği ClickFix olarak bilinen tekniğin bir varyasyonunu temsil ediyor.
AMOS, heyetimin akabinde maddi çıkar sağlamak yahut daha sonraki taarruzlarda kullanılmak üzere çeşitli dataları topluyor. Ziyanlı yazılım; tanınan tarayıcılardan parola ve çerezleri, Electrum, Coinomi ve Exodus üzere kripto para cüzdanlarına ilişkin dataları, ayrıyeten Telegram Desktop ve OpenVPN Connect üzere uygulamalardan bilgileri amaç alıyor. Bununla birlikte Masaüstü, Dokümanlar ve İndirilenler klasörlerinde bulunan TXT, PDF ve DOCX uzantılı belgeleri, Notes uygulaması tarafından saklanan evraklarla birlikte tarıyor ve bu bilgileri saldırganların denetimindeki altyapıya sızdırıyor. Paralel olarak, sistem yine başlatıldığında otomatik olarak devreye giren bir art kapı da kuruluyor; bu art kapı saldırganlara uzaktan erişim imkânı sağlıyor ve AMOS ile büyük ölçüde örtüşen bir bilgi toplama mantığıyla çalışıyor.
Bu kampanya, bilgi hırsızı ziyanlı yazılımların 2025 yılının en süratli büyüyen tehditleri arasında yer aldığına işaret eden daha geniş bir eğilimin modülü olarak öne çıkıyor. Saldırganlar, oltalama senaryolarını daha inandırıcı kılmak için yapay zekâ temalarını, geçersiz YZ araçlarını ve YZ tarafından üretilmiş içerikleri giderek daha fazla kullanıyor. Son periyotta uydurma YZ tarayıcı kenar çubukları ve tanınan modeller için hazırlanmış uydurma istemci uygulamaları üzere örnekler görülürken, Atlas temalı bu faaliyet, legal bir YZ platformunun yerleşik içerik paylaşım özelliğinin berbata kullanılmasına kadar uzanıyor.
Kaspersky Ziyanlı Yazılım Analisti Vladimir Gursky, mevzuyla ilgili şunları söyledi: “Bu hadiseyi tesirli kılan öge, gelişmiş bir teknik açık değil; toplumsal mühendisliğin tanıdık bir yapay zekâ bağlamı içinde sunulması. Sponsorlu bir ilişki, muteber bir alan ismindeki tertipli bir sayfaya yönlendiriyor ve ‘kurulum rehberi’ tek bir Terminal komutundan ibaret. Birçok kullanıcı için bu itimat ve kolaylık birleşimi, alışıldık temkin sistemlerini devre dışı bırakmaya yetiyor. Meğer sonuç, sistemin büsbütün ele geçirilmesi ve saldırgan için uzun vadeli erişim manasına geliyor.”
Kaspersky, kullanıcılara şu tekliflerde bulunuyor:
- Özellikle bir web sitesi, evrak ya da sohbet üzerinden tek satırlık bir betiğin kopyalanıp yapıştırılmasını içeren ve Terminal yahut PowerShell çalıştırılmasını isteyen, talep edilmemiş “rehberlere” karşı temkinli olun.
- Talimatlar net değilse bu tıp sayfaları kapatın yahut bildirileri silin; devam etmeden evvel bilgili bir kaynaktan görüş alın.
- Şüpheli komutları çalıştırmadan evvel, kodun ne yaptığını anlamak için başka bir yapay zekâ yahut güvenlik aracına yapıştırarak incelemeyi değerlendirin.
- macOS ve Linux sistemler dâhil olmak üzere tüm aygıtlarda, Kaspersky Premium gibi saygın bir güvenlik yazılımı kullanarak bilgi hırsızlarını ve bağlantılı ziyanlı yükleri tespit edip engelleyin.
Kaynak: (BYZHA) Beyaz Haber Ajansı
