Giriş
Yeni bir macOS bilgi hırsızı olan CrashStealer, sistemlerden hassas verileri toplayarak ciddi bir güvenlik tehdidi oluşturmaktadır. Bu tür bir zararlının varlığı, kullanıcıların gizliliğini ve sistem güvenliğini büyük ölçüde tehlikeye atmaktadır.
CrashStealer’ın Çalışma Prensibi
CrashStealer, diğer bilgi hırsızlarının aksine AppleScript veya Objective-C tabanlı sarmalayıcılar yerine, yerel C++ kullanılarak geliştirilmiştir. Kötü niyetli yazılım, önce kurbanın giriş şifresini yerel olarak doğrulamakta, ardından şu verileri toplayarak AES-GCM ile şifrelemektedir:
- Tarayıcı verileri (Google Chrome, Brave, Microsoft Edge, Opera, Vivaldi vb.)
- Yaklaşık 80 kripto para cüzdan uzantısı (MetaMask, Coinbase, Trust Wallet vb.)
- 14 şifre yöneticisi verisi (1Password, LastPass, Bitwarden vb.)
- Kullanıcı belgeleri ve indirme dizinleri
Bu bilgiler daha sonra, libcurl kullanılarak bir sunucuya gönderilmektedir.
Etkilenen Sistemler
CrashStealer, macOS işletim sistemine yönelik bir tehdit olarak ortaya çıkmıştır. Zararlının dağıtımı, “Werkbit.app” adlı imzalı ve Apple tarafından onaylanmış bir disk imaj dosyası ile gerçekleştirilmektedir. Disk imajı, werkbit[.]io alan adından temin edilmektedir ve bu alana erişim bir toplantı PIN’i ile kısıtlanmaktadır.
Kurulum Süreci
Disk imajı açıldığında kullanıcıya bir kurulum ekranı sunulmakta ve kullanıcıdan uygulamayı çalıştırması istenmektedir. Uygulama çalıştırıldığında, “veltod” adlı çalıştırılabilir dosya, bir GitHub deposuna (github.com/mgothiclove) bağlanarak “sys.cache” adlı bir dosyayı indirmektedir. Bu dosya daha sonra başka bir yükleme dosyası olan “CrashReporter.dmg” çekmek için kullanılmaktadır.
Veri Toplama ve Korunmasız Kalma
Zararlı yazılım, kurulumdan sonra LaunchAgent olarak süreklilik sağlar ve analiz engelleme yöntemleri ile kendini gizlemektedir. Kullanıcıdan bir şifre girişi istemekte ve doğrulanmış şifre ile kullanıcı anahtar zincirini açarak verileri toplamaktadır.
Önemli Güvenlik Uyarıları
Kötü niyetli yazılım, yalnızca verileri toplamakla kalmaz, aynı zamanda etkili bir şekilde gizlenme ve analiz dirençli olma özellikleri ile de dikkat çekmektedir. Bunun anlamı, kullanıcının sisteminin bu tür bir saldırıya karşı daha savunmasız hale gelmesidir.
Çözüm ve Korunma
Kullanıcıların güvenliklerini sağlamak için aşağıdaki adımları izlemeleri gerekmektedir:
- Sistem güncellemelerini düzenli olarak kontrol edin ve en son yazılım sürümüne güncelleyin.
- Güvenilir kaynaklardan sadece yazılım indirin; bilinmeyen veya şüpheli kaynaklardan gelen bağlantılardan uzak durun.
- Şifre yönetimi uygulamalarınızı güncel tutun ve güçlü şifreler kullanın.
- Gereksiz ağ bağlantılarını kapatın ve firewall ayarlarınızı gözden geçirin.
Zararlı yazılım tehditleri her geçen gün artarken, kullanıcıların dikkatli ve proaktif olmaları kritik önem taşımaktadır.


