Mac kullanıcılarını hedef alan tuzak bulundu

Kaspersky Tehdit Araştırma ekibi, macOS kullanıcılarını hedef alan yeni bir zararlı yazılım kampanyası tespit etti. İncelemelere göre saldırganlar, ücretli Google arama reklamları ve ChatGPT’nin resmi internet sitesinde paylaşılan sohbetleri kullanarak kullanıcıları kandırmaya çalışıyor. Kampanya kapsamında hedef alınan kullanıcılar, AMOS (Atomic macOS Stealer) adlı bilgi hırsızı yazılımı ile kalıcı bir arka kapıyı sistemlerine kendi rızalarıyla kurmaya yönlendiriliyor.

Saldırganlar, “chatgpt atlas” gibi arama sorguları için sponsorlu reklamlar satın alarak kullanıcıları chatgpt.com alan adı üzerinde barındırılan “ChatGPT Atlas for macOS” başlıklı bir sayfaya yönlendiriyor. Yapılan analizlerde, söz konusu sayfanın istem mühendisliği kullanılarak oluşturulmuş ve paylaşıma açılmış bir ChatGPT sohbeti olduğu belirlendi. İçerik, yalnızca adım adım kurulum talimatları kalacak şekilde düzenlenmiş durumda bulunuyor.

Rehberde kullanıcılardan tek satırlık bir kodu kopyalamaları, macOS Terminal’i açarak komutu yapıştırmaları ve istenen tüm izinleri vermeleri isteniyor.

Kaspersky araştırmacılarının tespitlerine göre çalıştırılan komut, atlas-extension[.]com alan adından bir betik indirip devreye alıyor. Betik, doğrulama amacıyla sistem komutlarını çalıştırmayı deniyor ve kullanıcıdan tekrar tekrar sistem parolasını talep ediyor. Doğru parola girildiğinde AMOS bilgi hırsızı indiriliyor, ele geçirilen kimlik bilgileri kullanılarak sisteme kuruluyor ve çalıştırılıyor.

Bu süreç, kullanıcıların uzaktaki sunuculardan kod indirip çalıştıran kabuk komutlarını manuel olarak yürütmeye ikna edildiği ClickFix tekniğinin bir varyasyonu olarak tanımlanıyor.

AMOS, kurulumun ardından geniş kapsamlı veri toplama faaliyeti yürütüyor. Zararlı yazılım; popüler tarayıcılardaki parolalar ve çerezler ile Electrum, Coinomi ve Exodus kripto para cüzdanlarına ait verileri hedef alıyor. Ayrıca Telegram Desktop ve OpenVPN Connect uygulamalarındaki bilgiler de toplanıyor.

Bununla birlikte Masaüstü, Belgeler ve İndirilenler klasörlerinde bulunan TXT, PDF ve DOCX uzantılı dosyalar ile Notes uygulamasına ait içerikler taranıyor ve saldırganların kontrolündeki altyapıya aktarılıyor. Sistem yeniden başlatıldığında devreye giren kalıcı bir arka kapı da kurularak saldırganlara uzaktan erişim imkânı sağlanıyor.

Tespit edilen kampanya, bilgi hırsızı zararlı yazılımların 2025 yılında en hızlı büyüyen tehditler arasında yer aldığına işaret eden daha geniş bir eğilimin parçası olarak değerlendiriliyor. Saldırganlar, oltalama senaryolarını daha inandırıcı hale getirmek amacıyla yapay zekâ temalarını, sahte YZ araçlarını ve YZ tarafından üretilmiş içerikleri daha sık kullanıyor. Atlas temalı bu faaliyet, meşru bir yapay zekâ platformunun içerik paylaşım özelliğinin kötüye kullanılmasına örnek teşkil ediyor.

Kaspersky, kullanıcıların özellikle web siteleri, belgeler veya sohbetler üzerinden tek satırlık betiklerin kopyalanıp yapıştırılmasını isteyen, Terminal veya PowerShell çalıştırılmasını talep eden rehberlere karşı dikkatli olması gerektiğini belirtiyor. Talimatların net olmadığı durumlarda sayfanın kapatılması veya mesajın silinmesi, devam edilmeden önce bilgili bir kaynaktan görüş alınması öneriliyor.

Şüpheli komutların çalıştırılmasından önce kodun ne yaptığının incelenmesi ve macOS dâhil tüm cihazlarda saygın bir güvenlik yazılımı kullanılması tavsiye ediliyor.