Güncel Tehdit: AMOS Infostealer Malware
Son zamanlarda, AMOS infostealer kampanyası, kullanıcıları yanıltmak amacıyla Google arama reklamlarını suistimal etmektedir. Amaç, Grok ve ChatGPT üzerinden kullanıcıları “yararlı” talimatlar sunduğu izlenimi veren sohbetlere yönlendirmektir. Ancak bu talimatlar, sonunda macOS üzerinde AMOS bilgi çalan kötü amaçlı yazılımının yüklenmesine neden olmaktadır.
Kampanyanın Başlangıcı ve Yöntemi
Bu kampanya, Kaspersky tarafından ortaya çıkarıldı ve detaylar, Huntress adlı güvenlik platformu tarafından doğrulandı. İlk aşamada, hedef kullanıcılar macOS ile ilgili bakım soruları ya da sorun çözme arayışında Google’da arama yaparlar. Google reklamları, bu aramalara doğrudan ChatGPT ve Grok sohbetlerine yönlendirmektedir.
Bu sohbetler, saldırı öncesinde hazırlanmış ve kamuya açık olarak paylaşılan içeriklerden oluşmaktadır. İçeriklerde, kötü amaçlı yazılımın yüklenmesi için gerekli talimatlar bulunmaktadır.
Tehditin Detayları
Huntress araştırmacıları, yaptıkları incelemelerde bu kötü niyetli sonuçları “iMac üzerindeki verileri nasıl temizleyebilirim?” gibi yaygın sorularla çoğaltmayı başardılar. Eğer kullanıcılar AI sohbetinden aldıkları komutları Terminal’de uygularsa, bu bir base64 kodlu URL olarak çözülür ve kötü amaçlı bir bash scripti yüklenir. Kullanıcıdan şifre girmesi istendiğinde, şifre doğrulanır ve AMOS infostealer’i yükleyecek olan komutlar çalıştırılır.
Kötü Amaçlı Yazılımın Özellikleri
AMOS, 2023’ün Nisan ayında ilk kez belgelenmiştir. Bu yazılım, aylık 1000 dolara kiralama modeline sahip bir “malware-as-a-service” (MaaS) operasyonudur. Kullanıcıların kişisel bilgilerini hedef alarak, macOS sistemlerini ele geçirmeye yöneliktir. Aylık bir yükleme ile birlikte, AMOS, etkilediği cihazlardan şifreleri kaydetme, ek yükler indirme ve uzaktan komut yürütme yeteneğine sahip bir arka kapı modülü eklenmiştir.
Malware, kullanıcının dosya sistemine gizli bir dosya olarak yüklenir ve özellikle kripto para cüzdanlarını hedef alır. Cüzdan uygulamaları, sahte sürümleriyle değiştirilerek kullanıcıdan güvenlik açısından “şifrelerini” girmesi talep edilmektedir.
Önleme ve Koruma Yöntemleri
Kullanıcıların internetten buldukları komutları uygularken dikkatli olmaları önemlidir. Üzerine gidecekleri her komut, daha önce test edilmediği sürece risk taşıyabilir. Kaspersky, manipüle edilmiş LLM (büyük dil modelleri) konuşmalarına ulaşıldığında dahi, sağlanan talimatların güvenli olup olmadığını sorgulama gibi basit bir takip sorusu ile aslında tehlikeli olduklarının anlaşılabileceğini belirtmiştir.
Sonuç olarak, AMOS infostealer kampanyası, kullanıcıların dikkatli olmaları gerektiğini ortaya koyuyor. Özellikle güvenilir görünen platformların dahi, kötü niyetli aktörler tarafından kullanılmaya açık olabileceği unutulmamalıdır.
