Mac Cihazlarına Yönelik Tehdit: Shamos Malware
Son zamanlarda, Mac cihazlarını hedef alan yeni bir bilgi çalan zararlı yazılım ortaya çıktı: Shamos. Bu zararlı yazılım, kullanıcıları yanıltarak macOS sorun gidermek için sahte rehberler ve çözümlerle tuzağa düşüren ClickFix saldırıları aracılığıyla yayılmakta. Shamos, Atomic macOS Stealer (AMOS)‘ın bir varyantı olarak karşımıza çıkıyor ve COOKIE SPIDER adlı siber suç grubu tarafından geliştirilmiş.
CrowdStrike‘ın tespit ettiği Shamos, Haziran 2025’ten bu yana dünyanın dört bir yanındaki 300’den fazla ortamda saldırılar gerçekleştirdi.
ClickFix Saldırıları ile Yayılım
Bu zararlı yazılmala karşılaşılan kurbanlar, genellikle malvertising (kötü amaçlı reklamlar) veya sahte GitHub deposu üzerinden tuzağa düşürülüyor. Bu saldırılar, kullanıcıları macOS Terminal’inde kabuk komutları çalıştırmaya yönlendiriyor. Tehdit aktörleri, kullanıcılara komutları çalıştırarak yazılım yüklemeleri veya sahte hataları düzeltmeleri için yönlendiriyor. Ancak bu komutlar çalıştırıldığında, aslında cihazda zararlı yazılımı indirip çalıştırıyor.
Sahte sayfalar (mac-safer[.]com, rescue-mac[.]com) kullanıcıların karşılaşabileceği macOS sorunlarıyla ilgili yardım sağladığını iddia ediyor. Ancak verilen talimatlar, sorunu düzeltmek yerine bir Base64 şifrelemesi ile zararlı bir Bash betiğini uzaktan yüklemek için tasarlanmış.
Komutlar çalıştığında, kullanıcının parolasını yakalıyor ve Shamos’un kötü amaçlı Mach-O çalıştırılabilir dosyasını indirip hazırlıyor. Bu süreçte, xattr ve chmod komutları kullanılarak Gatekeeper’ı aşarak zararlı yazılımın çalıştırılmasını sağlıyor.
Shamos ile Veri Hırsızlığı
Shamos, cihazda çalıştırıldığında, öncelikle sanal makineler üzerinde çalışmadığını doğrulamak amacıyla anti-VM komutları çalıştırıyor. Daha sonra, AppleScript komutları kullanarak ev sahibi hakkında bilgi topluyor. Şifreli veriler, kripto para cüzdan dosyaları, keychain verileri, Apple Notları ve kullanıcının tarayıcısında saklanan bilgiler arasında yer alıyor.
Topladığı verileri out.zip adlı bir arşive paketleyen Shamos, bu verileri saldırgana iletmek için curl komutunu kullanıyor. Eğer zararlı yazılım sudo ayrıcalıkları ile çalışıyorsa, kullanıcıya ait LaunchDaemons dizininde bir Plist dosyası (com.finder.helper.plist) oluşturuyor. Bu dosya, sistem başlangıcında otomatik olarak çalışmasını sağlıyor ve sürekli erişim sağlıyor.
CrowdStrike, Shamos’un ek yükler indirebileceğini ve kullanıcıların ana dizinine sahte Ledger Live cüzdan uygulaması ve bir botnet modülü bırakma gibi durumlarla karşılaşabileceğini de belirtiyor.
Mac kullanıcıları, çevrimiçi buldukları komutları çalıştırırken dikkat etmelidir. Tam olarak ne yaptıklarını anlamadan böyle bir adım atmaları, ciddi güvenlik tehditleri ile karşılaşmalarına neden olabilir. Aynı durum GitHub depoları için de geçerlidir; platform, ne yazık ki birçok kötü niyetli projeye ev sahipliği yapmaktadır.
MacOS ile ilgili sorunlar yaşıyorsanız, destek almak için Apple Community forumlarına başvurmak daha iyi bir seçenek olacaktır. Bu forumlar, Apple tarafından denetlenmektedir. Ayrıca, sistemin yerleşik yardım özelliğini (Cmd + Space → “Help”) kullanarak yardım alabilirsiniz.
ClickFix Saldırıları ve Yaygınlıkları
ClickFix saldırıları, zararlı yazılımları dağıtmak için kullanılan yaygın bir taktik haline gelmiştir. Tehdit aktörleri, bu yöntemleri kullanarak TikTok videolarında, captcha formu olarak ve sahte Google Meet hatalarını düzeltmek için kullandıkları örnekler ortaya çıkmaktadır. Bu taktik, o kadar etkili hale gelmiştir ki, fidye yazılımı saldırılarında ve hatta devlet destekli tehdit aktörleri tarafından bile kullanılmaktadır.
Gün geçtikçe artan şifre kırma oranları, bir güvenlik açığı teşkil ediyor. Son raporlara göre, 2025 yılında, ortamların %46’sının şifreleri kırılmış durumda. Bu oran, geçen yıla göre neredeyse iki katına çıkmış durumda.
Sonuç olarak, Mac cihaz kullanıcılarının bilinçli olması ve internet üzerinden maruz kaldıkları riskleri anlaması, bireysel siber güvenlik açısından kritik önem taşımaktadır. Her zaman temkinli olup, internetten edindikleri bilgilerin güvenilirliğini sorgulamalıdırlar.
