Giriş
Son dönemde, macOS sistemlerini hedef alan yeni bir bilgi çalan malware olan Infinity Stealer dikkat çekiyor. Bu saldırılar, kullanıcılara Cloudflare’ın insan doğrulama mekanizmasını taklit eden sahte CAPTCHA’lar aracılığıyla kötü amaçlı kodları çalıştırmaları için tuzak kuruyor.
Saldırı Nasıl Çalışıyor?
Infinity Stealer, ClickFix tekniğini kullanarak, kullanıcıları sahte bir CAPTCHA ile kandırıyor. Saldırı zinciri, update-check[.]com alan adı üzerinden başlıyor ve kullanıcıların bir base64 şifreli curl komutunu macOS Terminal’ine yapıştırmasını istiyor. Bu komut, kurulum aşaması olan stage-2 (Nuitka yükleyici) için gerekli olan Bash betiğini çözüyor ve /tmp dizinine yazıyor.
Etkilenen Sistemler
Infinity Stealer’dan etkilenen sistemler şunlardır:
- macOS sistemleri
Saldırı, Python ile yazılmış ve Nuitka kullanılarak derlenmiş bir uygulama ile gerçekleştiriliyor. Nuitka, Python scriptini C koduna dönüştürerek, ortaya çıkan binary’nin statik analize karşı daha dayanıklı olmasını sağlıyor. Bu durum, tipik Python tabanlı kötü amaçlı yazılımlara göre daha zor tespit edilen bir yapıya ulaşmasına neden oluyor.
Verilerin Çalınması
Malwarebytes tarafından yapılan analiz, Infinity Stealer’ın aşağıdaki verileri çaldığını ortaya koydu:
- Chromium tabanlı tarayıcılardan ve Firefox’tan alınan kimlik bilgileri
- macOS Keychain girdileri
- Kripto para cüzdanları
- Geliştirici dosyalarında bulunan düz metin sırlar (örn. .env dosyaları)
Çalınan veriler, HTTP POST istekleri aracılığıyla komut ve kontrol sunucusuna (C2) aktarılmakta ve işlem tamamlandığında tehdit aktörlerine Telegram üzerinden bildirim gönderilmektedir.
Çözüm ve Korunma
Malwarebytes, Infinity Stealer gibi kötü amaçlı yazılımların ortaya çıkmasının, macOS kullanıcılarına yönelik tehditlerin daha da geliştiğini ve hedefli hale geldiğini vurgulamaktadır. Kullanıcıların aşağıdaki önlemleri almaları şiddetle tavsiye edilmektedir:
- Terminal’e buldukları veya güvenilir olmayan kaynaklardan gelen komutları yapıştırmamaları gerektiğini unutmamalıdırlar.
- İşletim sistemlerini ve uygulamalarını sürekli güncel tutmalıdırlar.
- Güçlü bir antivirüs yazılımı kullanmalı ve düzenli tarama yapmalılardır.
Kullanıcılar, sistemlerinin güvenliğini sağlamak için yukarıdaki önerilere uymalı ve bilinmeyen kaynaklardan gelen bağlantılara karşı dikkatli olmalıdırlar.
