Kaspersky Tehdit Araştırma ekibi, ücretli Google arama reklamları ve ChatGPT’nin resmi sitesi üzerinden paylaşılan sohbetler yoluyla Mac kullanıcılarını hedefleyen yeni bir zararlı yazılım saldırısını ortaya çıkardı. Saldırganlar, kullanıcıları AMOS (Atomic macOS Stealer) adlı bilgi hırsızını ve kalıcı bir arka kapıyı kurmaya yönlendiriyor.Bu siber tehditte, arama sonuçlarında sponsorlu reklamlar kullanılarak chatgpt.com alanındaki bir kurulum rehberi gibi görünen sayfaya yönlendiriliyor. Ancak gerçek içerik, paylaşıma açık bir ChatGPT sohbetinden oluşuyor ve adım adım kurulum talimatları içermesi amacıyla düzenlenmiştir. Kullanıcılar, tek satırlık bir komutu kopyalayıp macOS Terminal’i açarak yapıştırmalı ve gerekli tüm izinleri vermelidir. Analizlere göre komut, atlas-extension[.]com adlı harici bir alan adından indirilen bir betiği çalıştırır; betik, doğrulama amacıyla kullanıcıdan parolayı tekrar ister ve doğru parola verildiğinde AMOS’u indirme ve kurulum sürecini başlatır.Bu süreç, ClickFix olarak bilinen teknik varyasyonuna benzer şekilde, kullanıcıları uzaktan komut çalıştırmaya zorlayacak şekilde tasarlanmıştır. Kurulum tamamlandığında, zararlı yazılım çeşitli verileri toplar ve arka kapı kurulumuyla sisteme kalıcı erişim sağlar. Veriler, popüler tarayıcı parolaları ve çerezler, bazı kripto para cüzdanları (Electrum, Coinomi, Exodus) ile Telegram Desktop ve OpenVPN Connect gibi uygulamalardaki bilgiler dahil olmak üzere geniş bir kapsamı kapsar. Ayrıca Masaüstü, Belgeler ve İndirilenler klasörlerindeki dosyalar (TXT, PDF, DOCX) ile Notes uygulamasında saklanan verileri tarayarak saldırganların altyapısına aktarır.Arka planda çalışan bu zararlı yük, cihaz yeniden başlatıldığında otomatik olarak devreye giren bir arka kapıyı da devreye sokar ve bununla saldırganlara uzaktan erişim sağlar. AMOS’un toplama mantığı, bu en geniş veri kümesini hedef alır. Bu kampanya, bilgi hırsızlığı tehditlerinin 2025 yılında hızla büyüdüğünü gösteren bir eğilimin parçası olarak öne çıkıyor; saldırganlar, sahte yapay zeka temalarını ve içeriklerini kullanarak oltalama senaryolarını daha inandırıcı hâle getiriyor. Atlas temasına bağlı bu operasyon, meşru bir yapay zeka platformunun içerik paylaşım özelliğinin kötüye kullanılmasına artık bir örnek teşkil ediyor.Kaspersky Zararlı Yazılım Analisti Vladimir Gursky şu yorumu paylaşıyor: “Bu vaka sıradan bir teknik boşluktan çok, sosyal mühendisliğin otantik bir yapay zekâ bağlamında sunulmasıyla etkili oluyor. Sponsorlu bir bağlantı, güvenilir bir alan adına yönlendirir ve kurulumu tek bir Terminal komutuyla sunar. Pek çok kullanıcı için bu güven ve basitlik birleşimi, bildikleri güvenlik önlemlerini devre dışı bırakmaya yeterli oluyor. Sonuçta, sistemin tamamen ele geçirilmesi ve saldırgan için kalıcı erişim söz konusu.”Öne çıkan korunma önerileri:
- Tek satırlık betiklerin kopyalanıp çalıştırılmasını isteyen rehberlere karşı dikkatli olun; özellikle Terminal veya PowerShell talebi içeren içerikleri e-posta veya sohbetlerden izinsiz almamaya özen gösterin.
- Talimatlar belirsizse sayfaları kapatın ve güvenilir bir referans üzerinden doğrulama yapmadan ilerlemeyin.
- Çalıştırmadan önce kodun ne yaptığını anlamak adına güvenlik araçlarında analiz edin; gerekirse bağımsız bir yapay zekâ veya güvenlik aracı üzerinde test edin.
- macOS ve Linux dahil tüm cihazlarda, saygın güvenlik çözümleri kullanarak bilgi hırsızlarını ve zararlı yükleri tespit edin ve engelleyin.
