Malware Tehditi: Atomic macOS Stealer
Son dönemdeki siber güvenlik araştırmaları, Apple’ın macOS işletim sistemleri üzerinde etkili olan yeni bir malware kampanyasına dikkat çekiyor. ClickFix adı verilen sosyal mühendislik taktiğini kullanan bu kampanya, kullanıcıları Atomic macOS Stealer (AMOS) adlı bilgi çalan bir malware’i indirmeye yönlendiriyor. CloudSEK tarafından yapılan araştırmalara göre, bu kampanya typosquat alan adları kullanarak ABD merkezli telekom sağlayıcısı Spectrum‘u taklit ediyor.
Saldırının Mekanizması
Kampanya sürecinin başlangıcı, Spectrum’u andıran sahte bir web sayfası. Kullanıcılara, bağlantılarının güvenliğini kontrol etmek için bir hCaptcha doğrulama kontrolünü tamamlamaları gerektiği mesajı iletiliyor. Kullanıcı, "Ben insanım" onay kutusunu tıkladığında, "CAPTCHA doğrulaması başarısız oldu" şeklinde bir hata mesajı alıyor ve alternatif bir doğrulama için butona tıklamaları isteniyor.
Bu durum, kullanıcıların panosuna bir komut kopyalanmasına sebep oluyor. Kullanıcılara işletim sistemlerine bağlı olarak çeşitli talimatlar gösteriliyor. Windows sistem kullanıcıları, Windows Run penceresini açmaları için yönlendirilirken, macOS kullanıcıları için bir Terminal komutu çalıştırmaları isteniyor.
Shell Script’in Tehlikeleri
Kullanıcılara gösterilen shell script, öncelikle sistem parolasını girmeleri için bir talepde bulunuyor ve ardından bir sonraki aşama yuvasını indiriyor; bu durumda zaten bilinen bir bilgi çalan yazılım olan Atomic Stealer‘ı. Güvenlik araştırmacısı Koushik Pal, teslimat sitelerindeki yanlış talimatların ve programlama hatalarının, hızlı bir şekilde oluşturulan altyapıyı gösterdiğini ifade ediyor. Linux kullanıcıları için bir PowerShell komutunun kopyalanmasının yanı sıra, her iki işletim sistemi için de "Windows Tuşu + R" talimatının verilmesi dikkat çekici bir karışıklık.
ClickFix Taktiklerinin Büyüyen Tehdidi
ClickFix taktiklerine dayalı saldırılar son bir yıl içinde önemli bir artış göstermekte. Darktrace, bu tür hedeflenmiş saldırıları gerçekleştirenlerin, başlangıç erişimi elde etmek için benzer teknikler, araçlar ve prosedürler kullandığını belirtiyor. Bu taktikler arasında spear phishing saldırıları, drive-by saldırılar ve tanıdık online platformlarda güven eksikliğinden faydalanmak bulunuyor.
Bu tür saldırılar, kullanıcıları sahte bir CAPTCHA doğrulama kontrolüne yönlendiren kötü niyetli URL’lere yönlendiren bağlantılar dağıtıyor. Nihai sonuç olarak, kullanıcıların kendi sistemlerini tehlikeye atmaları ve güvenlik kontrollerini aşmaları sağlanıyor. Darktrace tarafından incelenen bir Nisan 2025 olayında, kimliği belirsiz tehdit aktörleri ClickFix’i bir saldırı vektörü olarak kullanarak, hedef ortamda daha derine inmiş ve veri exfiltrasyonuna ulaşmışlardı.
ClickFix İçin Stratejiler ve Uygulamalar
ClickFix stratejileri genellikle başka popüler CAPTCHA hizmetlerinin sahte versiyonlarını içerir. Google reCAPTCHA ve Cloudflare Turnstile gibi hizmetler, güvenlik kontrolleri altında gerçek dışı yazılımlar ulaştırmak için kullanılıyor. Bu sahte sayfalar, gerçek sayfaların pixel mükemmel kopyaları olarak tasarlanıyor ve bazen hacklenmiş web sitelerine entegre ediliyor.
Lumma ve StealC gibi bilgi çalan yazılımlar ile NetSupport RAT gibi tam kapsamlı uzak erişim trojanları, yalancı Turnstile sayfaları aracılığıyla dağıtılan payload’lar arasında yer alıyor. SlashNext‘in Daniel Kelley‘ine göre, modern internet kullanıcıları sürekli olarak spam kontrolleri, CAPTCHAlar ve güvenlik istemleri ile karşılaşmakta. Kullanıcılar, bu süreçleri hızlıca geçme eğiliminde olduğundan, saldırganlar bu "doğrulama yorgunluğundan" yararlanarak, sunulan her adıma uyum sağlamaları için ikna edebiliyorlar.
Siber güvenlik alanındaki bu tehditler, kullanıcıların dikkatli olmasını ve sıkı güvenlik önlemleri almasını zorunlu hale getiriyor. Özellikle yaşanan zararlı yazılım kampanyaları, siber güvenlik bilinci ve kullanıcı eğitimine daha fazla önem verilmesi gerektiğini gösteriyor.
