Siber suç dünyasında infostealer’lar, yüksek volümlü kimlik hırsızlığı için kritik bir rol üstlenmektedir. Bu tür yazılımlar, kullanıcı verilerini toplamak ve bu bilgileri karanlık ağlarda satmak amacıyla kullanılır; bu durum, siber güvenlik alanında farkındalığın artırılmasını zorunlu kılmaktadır.
Infostealer’lar Nasıl Çalışır?
Infostealer’lar, modern siber suç çetelerinin önemli bir parçasını oluşturur. Bir kez kurulduğunda, hedef makinedeki tarayıcılar, sistem kimlik bilgileri, kripto cüzdanlar, mesajlaşma uygulamaları ve yerel dosyalar üzerinde tarama yaparak, kimlik doğrulama verilerini, oturum çerezlerini ve hassas belgeleri hızla çalar ve bunları saldırganların kontrolündeki sunuculara gönderir.
ClawHavoc – En Son Kampanya
Koi Security’nin yaptığı son bir araştırma, AMOS infostealer yayılma yöntemlerinin teknolojik zayıflıkları bulmak ve kullanmak için kurnazca tasarlandığını göstermektedir. ClawHavoc, OpenClaw ve ClawHub ekosistemini hedefleyen büyük ölçekli bir tedarik zinciri kampanyası olarak tanımlanmıştır.
Bu kampanyada, saldırganlar OpenClaw’ın popülaritesinden yararlanarak, yasadışı gizlilik uygulamaları ile AMOS zararlısını içine yerleştirmektedir. Hedeflenen kullanıcılar, çeşitli eklentileri (kripto araçlar, ürünivite uygulamaları vb.) yüklerken kendilerini tehlikeye atıyorlar.
AMOS: İlk Görünüm
AMOS, Mayıs 2023’te bir Telegram kanalında ilk kez görüldü ve Mac anahtar zincirinden parola alma, dosya alma, sistem bilgisi ve macOS parola dışa aktarma gibi yeteneklerini duyurdu.
Başlangıçta aylık $1000 gibi bir fiyata satılan bu yazılım, şu anda karanlık ağda önemli bir yere sahip olmuştur. Siber suçlular, AMOS’a ait çalıntı kaydetmelerini satın alarak kendi kötü niyetli işlerinde kullanıyorlar.
AMOS’un Çalışma Yöntemi
AMOS, sahte e-posta, sahte yükleyiciler ve SEO zehirleme gibi tekniklerle dağıtılmaktadır. Kullanıcılar, sahte GitHub havuzları üzerinden tanınmış yazılım markalarını taklit eden uygulamalarla hedef alınmakta ve bu sayede zararlı yazılımı istemeden kurmaktadırlar.
AI Tabanlı Dağıtım Kanalları
AMOS, AI destekli uygulamaları hedef alarak nasıl yayıldığını göstermektedir. Örneğin, 2025 Aralık’ında, ChatGPT kullanıcıları hedef alındı ve burada kötü amaçlı “kurulum kılavuzları” güvendiği bir alanda (chatgpt.com) sunuldu.
Yeraltı Ekonomisi Modeli
AMOS ekosistemi, birçok taşeronun yer aldığı bir Malware-as-a-Service (MaaS) tedarik zinciri gibi çalışmaktadır. Geliştiriciler, zararlı yazılımı, güncellemeleri ve gerekli alt yapıları abonelik sistemi çerçevesinde sunmaktadır. Aşağıdaki aktörler ise bu yazılımı kullanarak kendi hedeflerine ulaşmayı hedeflemektedirler.
Bu çok aşamalı monetizasyon modeli, AMOS enfeksiyonlarını tekrar edilebilir bir gelir kaynağına dönüştürmektedir. Infostealer’ların odak noktası hız, veri kapsamı ve gizlilik olup, çalınan verilerin hızlı bir şekilde kullanılabilir hale gelmesini sağlayan yöntemler tercih edilmektedir.
Çözüm ve Korunma
Unutulmamalıdır ki, bu tür saldırılara karşı alabileceğiniz önlemler şunlardır:
- Sistemlerinizi Güncel Tutun: Yazılım güncellemelerinin yapılması, yeni güvenlik açıklarının kapatılması açısından kritik öneme sahiptir.
- Güvenilir Kaynaklardan Yükleyici Alın: Yazılımları yalnızca resmi veya güvenilir kanallardan indirmeniz gerekmektedir.
- Antivirüs ve Güvenlik Duvarı Kullanın: Güçlü bir antivirüs ve güvenlik duvarı yazılımı kullanarak potansiyel tehditleri tespit edebilir ve engelleyebilirsiniz.
- Eğitim ve Farkındalık: Kullanıcıların phishing ve sosyal mühendislik saldırıları hakkında bilgi sahibi olması önemlidir.
Son olarak, eğer bir AMOS veya benzeri bir zararlının hedefi olduysanız, hemen şüpheli hesapları değiştirin ve bağlı olduğunuz diğer platformların güvenliğini kontrol edin. Gerektiğinde destek almayı unutmayın!
