INFINITY STEALER MACOS KULLANICILARINI SAHTE DOĞRULAMA TUZAĞIYLA HEDEF ALIYOR
Yeni ortaya çıkan Infinity Stealer zararlı yazılımı, macOS sistemlerde sahte Cloudflare doğrulama ekranı üzerinden kullanıcıları kandırarak hassas verileri ele geçiriyor. Araştırmacılar, saldırının gelişmiş gizleme teknikleriyle tespit edilmesinin zorlaştığını belirtiyor.
Siber güvenlik araştırmacıları, macOS kullanıcılarını hedef alan yeni bir bilgi hırsızı zararlı yazılımın ortaya çıktığını duyurdu. Infinity Stealer adı verilen bu tehdit, kullanıcıları sahte doğrulama ekranları aracılığıyla kandırarak sistemlerine sızıyor ve kritik verileri ele geçiriyor.
Malwarebytes araştırmacıları tarafından analiz edilen saldırının, ClickFix adı verilen sosyal mühendislik tekniğiyle gerçekleştirildiği belirtildi. Söz konusu yöntemde, kullanıcıya Cloudflare insan doğrulaması taklit edilerek sahte bir CAPTCHA ekranı gösteriliyor ve Terminal’e komut yapıştırması isteniyor.
“Gerçek bir macOS uygulaması gibi çalışıyor”
Araştırmacılar, zararlı yazılımın teknik yapısına ilişkin şu bilgileri paylaştı:
“Nihai yük Python ile yazılıyor ve Nuitka kullanılarak derlenerek yerel bir macOS ikili dosyasına dönüştürülüyor. Bu durum, analiz edilmesini ve tespit edilmesini zorlaştırıyor.”
Nuitka’nın Python kodunu C diline çevirerek gerçek bir yerel uygulama oluşturduğu, bu sayede klasik yöntemlere göre tersine mühendisliğin daha zor hale geldiği ifade edildi.
Saldırı zinciri nasıl işliyor
Saldırının, update-check[.]com alan adı üzerinden başlatıldığı ve kullanıcıya sahte bir doğrulama adımı sunulduğu belirtildi. Kullanıcıdan, base64 ile gizlenmiş bir curl komutunu Terminal’e yapıştırması isteniyor.
Bu komutun çalıştırılmasıyla birlikte:
-
İkinci aşama zararlı yük sistemin geçici dizinine yazılıyor
-
Karantina bayrağı kaldırılıyor
-
Zararlı yazılım arka planda çalıştırılıyor
-
Komuta kontrol (C2) bilgileri iletiliyor
-
İzleri silmek için Terminal kapatılıyor
Son aşamada çalışan Infinity Stealer, sistemde veri toplamaya başlamadan önce sanal ortam ve analiz araçlarını tespit etmeye yönelik kontroller gerçekleştiriyor.
Kritik verileri hedef alıyor
Zararlı yazılımın, kullanıcı sisteminden çok sayıda hassas veriyi toplayabildiği tespit edildi. Bunlar arasında:
-
Chromium tabanlı tarayıcılar ve Firefox’tan kimlik bilgileri
-
macOS Keychain verileri
-
Kripto para cüzdanları
-
Geliştirici dosyalarındaki (.env) açık metin bilgiler
Toplanan verilerin HTTP POST istekleriyle saldırgan sunucularına gönderildiği, ayrıca işlem tamamlandığında saldırganlara Telegram üzerinden bildirim iletildiği aktarıldı.
“Terminal komutlarına dikkat”
Malwarebytes uzmanları, macOS platformuna yönelik tehditlerin giderek daha karmaşık hale geldiğine dikkat çekerek,
“Kullanıcılar, internetten gördükleri ve tam olarak anlamadıkları komutları Terminal’e yapıştırmamalıdır.” uyarısında bulundu.
Araştırmacılar, bu tür saldırıların artmasının, macOS sistemlerin de artık daha yoğun ve hedefli siber tehditlerle karşı karşıya olduğunu gösterdiğini vurguladı.
Ajans Expres Gazetesi
