Siber güvenlik araştırmacısı, MacOS kullanıcılarını yaklaşık 2.800 tehlikeye atılmış web sitesi aracılığıyla hedefleyen büyük bir kötü amaçlı yazılım kampanyası ortaya çıkardı.
“Makreeper” olarak adlandırılan operasyon, atomik stealer (AMOS) kötü amaçlı yazılımları sunmak için, şifreleri, kripto para cüzdanlarını ve Apple cihazlarından hassas bilgileri çalmak için sofistike sosyal mühendislik ve blockchain teknolojisi kullanıyor.
Başlangıçta 4 Mayıs 2025’te, tehlikeye atılan bir Brezilya haber sitesi aracılığıyla keşfedilen bu kampanya, MacOS ekosistemine karşı en büyük koordineli saldırılardan birini temsil ediyor.
.png
)
Kampanya, sahte Google Recaptcha doğrulama arayüzlerini yalnızca MacOS kullanıcılarına gösteren “ClickFix” veya “ClearFix” olarak bilinen aldatıcı bir teknik kullanıyor.
Ziyaretçiler “Ben bir robot değilim” yi tıkladıklarında, tanıdık Apple klavye kısayollarını (⌘ + spot ışığı açmak için ⌘ + boşluk, ardından ⌘ + v yapıştırma) kullanarak macOS’a özgü talimatlar içeren bir doğrulama iletişim kutusu sunulur.
Sahte arayüz, kötü amaçlı komutları otomatik olarak kullanıcının panosuna kopyalar;
Tehditi tanımlayan araştırmacı, “Saldırı, MacOS kullanıcılarını hedeflemek için titizlikle tasarlandı, ClickFix arabiriminin yalnızca MACOS cihazlarında görüntülenmesini sağlamak için istemci tarafı ve sunucu tarafı mekanizmalarının bir kombinasyonunu kullanarak” diyor.
Nisan 2023’ten bu yana yeraltı forumlarında, aylık 1000- 3.000 $ karşılığında bir hizmet olarak kötü amaçlı yazılım teklifi olarak mevcut olan kötü amaçlı yazılımın kendisi, MacOS Gatekeeper güvenlik korumalarını atlayan imzalı bir Mach-O ikili kullanıyor.
Blockchain tabanlı altyapı
Bu kampanyayı özellikle sofistike kılan şey, kötü niyetli komutların binans akıllı sözleşme blockchain işlemlerine gömüldüğü, tespitten kaçınmak ve yayılmalara direnmek için bir teknik olan “Etherhiding” kullanımıdır.
Bu yaklaşım, saldırganlara, geleneksel güvenlik önlemlerinin engelleme mücadelesi olduğu esnek bir komuta ve kontrol altyapısı sağlar.
Soruşturma agencia2.jornalfloripa.com.br ile başladı ve araştırmacı aynı saldırı metodolojilerini kullanarak binlerce başka siteyi ortaya çıkarırken genişledi.
Teslim sistemi, tespit edilmesi veya bozulması zor kalırken saldırının başarılı olmasını sağlamak için gizlenmiş JavaScript, birden fazla tam ekran kaplamaları ve blockchain tabanlı komut alımından yararlanır.
Yüklendikten sonra AMOS, anahtarlık şifreleri, tarayıcı verileri, kripto para cüzdanları, System_Profiler üzerinden sistem bilgileri ve masaüstü ve belgeler klasörlerinden dosyalar dahil olmak üzere değerli kullanıcı verilerini hedefler.
Stealer, özellikle kullanıcılar için önemli bir finansal tehdidi temsil eden 50’den fazla farklı kripto para cüzdanı ve uzantıyı hedefler.
Mac’inizi bu tehditten koruyun
Rapora göre, güvenlik uzmanları bu genişleyen tehdide karşı korunmak için çeşitli önlemler öneriyor:
- Asla Web siteleri tarafından istenen terminal komutlarını, özellikle CaptCHA veya doğrulama arabirimleri aracılığıyla sunulan terminal komutlarını yürütmeyin.
- Technavix.cloud veya SalortTactical.top gibi alanlara şüpheli bağlantılar için ağ trafiğini izleyin.
- Olağandışı anahtarlık erişimini veya System_Profiler yürütmesini tanımlayabilen uç nokta algılama araçlarını kullanın.
- Yönettiğiniz web sitelerinde yetkisiz komut dosyalarını engellemek için içerik güvenliği politikalarını uygulayın.
- MacOS’larınızı ve güvenlik yazılımınızı en son yamalarla güncel tutun.
Cihazınızın tehlikeye atıldığından şüpheleniyorsanız, uzmanlar sistemi karantina yapmayı, macOS’a özgü antivirüs araçlarıyla taramayı ve anahtarlık, tarayıcılar ve kripto para cüzdanları için şifreleri sıfırlamayı önerir.
Keşif, Apple’ın ekosistemini hedefleyen tehditlerin artan sofistike olmasının altını çiziyor.
Haber kuruluşlarından kişisel bloglara kadar şu ana kadar tespit edilen yaklaşık 2.800 uzlaştırılmış web sitesi ile ölçek, özellikle dünya çapında büyüyen macOS kullanıcı tabanını hedefleyen iyi kaynaklı bir tehdit oyuncusu gösteriyor.
SOC ekibini kurmak mı? -SOC ekibiniz için ücretsiz Ultimate SIEM Fiyatlandırma Kılavuzu’nu (PDF) indirin -> Ücretsiz İndir