Yeni SHub Reaper: Tehdit Giderek Büyüyor
Son dönemde, ‘SHub’ adlı macOS infostealer’in yeni bir versiyonu ortaya çıktı. Bu tehdit, sahte bir güvenlik güncellemesi mesajı göstererek kullanıcıları kandırırken, arka kapı da yükleyerek sistemi tehlikeye atıyor.
Saldırı Nasıl Çalışıyor?
Yeni versiyon Reaper, kullanıcıların tarayıcıdan hassas verileri çalmalarını, finansal bilgileri içerebilecek belgeleri toplamasını ve kripto cüzdan uygulamalarını ele geçirmesini sağlıyor. Geçmişteki SHub kampanyalarının aksine, bu sürüm, “ClickFix” taktiklerinden faydalanmak yerine, applescript:// URL şemasını kullanarak, kötü amaçlı bir AppleScript’i önceden yüklenmiş bir macOS Script Editor’da başlatıyor. Bu yöntem, Apple’ın macOS Tahoe 26.4 ile sunduğu Terminal tabanlı önlemleri aşmayı başarıyor.
Araştırmacılar, SentinelOne, yeni SHub infostealer çeşidinin kullanıcıları, daha az deneyimli kullanıcılar için legi̇tim görünümlü alanlar üzerinde barındırılan sahte WeChat ve Miro uygulama yükleyicileri ile tuzağa düşürdüğünü bildirdi. Şu anda sahte QQ ve Microsoft alanları sahte WeChat yükleyicilerini sunarken, Miro platformunu taklit eden alan ise gerçek web sitesine yönlendiriyor.
Etkilenen Sistemler
Kötü amaçlı siteler, AppleScript’in yürütülmesinden önce ziyaretçinin cihazını parmak izi ile tanıyarak sanal makineler veya VPN’lerinin olup olmadığını kontrol ediyor. Bu bilgiler, saldırganlara hedefin çevresel ayarları hakkında bilgi veriyor ve tüm telemetri verisi bir Telegram botu aracılığıyla saldırgana ulaşıyor.
Kötü amaçlı script, kullanıcının macOS şifresini isteyerek Keychain öğelerine erişim sağlıyor. Reaper’ın hedeflediği veriler arasında şunlar yer alıyor:
- Web tarayıcıları: Google Chrome, Mozilla Firefox, Brave, Microsoft Edge, Opera, Vivaldi, Arc ve Orion
- Kripto cüzdan uzantıları: MetaMask ve Phantom
- Şifre yöneticileri: 1Password, Bitwarden ve LastPass
- Masaüstü kripto cüzdan uygulamaları: Exodus, Atomic Wallet, Ledger Live, Electrum ve Trezor Suite
- iCloud hesap verileri
- Telegram oturum verileri
- Geliştirici ile ilgili yapılandırma dosyaları
Çözüm ve Korunma
Reaper, “Filegrabber” modülü ile kullanıcıların masaüstü ve belgeler klasörlerini tarayarak hassas bilgileri içerebilecek dosyaları toplar. Dosya boyutu sınırlamasına göre, 2MB’dan küçük veya PNG dosyaları için 6MB’a kadar dosyaları hedef alıyor.
Saldırgan, cüzdan uygulamaları mevcutsa, sürecin işlemlerini sonlandırarak meşru uygulama dosyasını app.asar adlı kötü amaçlı bir dosya ile değiştirir. SHub Reaper ayrıca, Google yazılım güncellemesini taklit eden bir script yükleyerek sistemde sürekli bir iz bırakır.
SentinelOne, bu tehditten korunmak için aşağıdaki önlemleri almanızı öneriyor:
- Sahte Apple güvenlik güncellemesi ile birlikte Script Editor yürütüldüğünde şüpheli dış trafiği izleyin.
- Yeni LaunchAgents ve ilişkili dosyalara dikkat edin.
Sonuç
Kullandığınız cihazların güncel ve güvenli olduğundan emin olun. Güncellemeleri yapın, şüpheli yazılımları kaldırın ve gerekli durumlarda portları kapatın. Siber güvenlik önlemlerinizi güçlendirmek için kullanıcı eğitimleri düzenleyebilirsiniz. Unutmayın, dikkatli ve bilinçli bir internet kullanımı, bu tür tehditlere karşı en iyi savunmadır.
