Kötü niyetli kodları doğrudan şüphelenmeyen kullanıcılara dağıtmak için meşru AI platformlarından yararlanan yeni bir kötü amaçlı yazılım kampanyası ortaya çıktı.
Tehdit aktörleri, “Mac’te depolama alanının nasıl temizleneceği” gibi genel macOS sorun giderme ipuçlarını arayan kullanıcıları sahte ChatGPT ve DeepSeek paylaşılan sohbet bağlantılarına yönlendirmek için sponsorlu Google arama sonuçlarını kullanıyor.
Bu paylaşılan sohbetler yararlı sistem talimatları sağlıyor gibi görünüyor ancak aslında hedef sistemi tehlikeye atmak için tasarlanmış gizli kötü amaçlı komutlar içeriyor.
Saldırı, kullanıcıların Mac’lerindeki depolama alanını temizlemek için adım adım talimatlar sağlayan, meşru görünen bir paylaşılan sohbetle karşılaşmasıyla başlıyor.
Bununla birlikte, bu talimatların içinde, çalıştırıldığında karmaşık, çok aşamalı bir kötü amaçlı yazılım programını indirip çalıştıran base64 kodlu komutlar bulunur.
.webp)
Bu teknik akıllıcadır çünkü bu yapay zeka platformlarının genellikle kullandığı güvenlik kontrollerini atlayarak saldırganların hedefli, kötü amaçlı talimatları resmi kanallar aracılığıyla doğrudan kullanıcılara iletmesine olanak tanır.
Bulaşma süreci, kimlik bilgisi doğrulama istemi kılığına girerek kullanıcılardan sistem parolalarını girmelerini isteyen bir bash betiğiyle başlar.
Kötü amaçlı yazılım, yakalandıktan sonra ayrıcalıkları artırmak ve ana kötü amaçlı yazılım ikili dosyasını saldırganın kontrolündeki sunuculardan indirmek için bu parolayı kullanır.
Breakpoint Security güvenlik analistleri, bu örneğin, güvenlik topluluklarında geniş çapta belgelenen, bilinen bir bilgi hırsızı ve kripto para hırsızı olan Shamus olduğunu tespit etti.
Gelişmiş taktik
Kötü amaçlı yazılımın gelişmişliği, çok katmanlı kodlamasında ve tespitten kaçınma taktiklerinde yatmaktadır.
.webp)
Kötü amaçlı kodunu analiz araçlarından gizlemek için özel bir 6 bitlik kod çözücüyle birlikte aritmetik ve XOR kodlamasını kullanır.
Bu karışıklık, güvenlik araştırmacılarının gerçek işlevselliğini yalnızca statik analiz yoluyla belirlemesini son derece zorlaştırıyor.
Kötü amaçlı yazılım yüklendikten sonra, başlangıçta otomatik olarak çalışan bir LaunchDaemon oluşturarak kalıcı sistem erişimi sağlar.
Bu, kullanıcı bilgisayarını yeniden başlattıktan sonra bile kötü amaçlı yazılımın erişimi sürdürmesini sağlar. Temel işlevsellik, Chrome, Firefox ve diğer 12 Chromium tabanlı tarayıcının tarayıcı çerezleri ve şifreleri de dahil olmak üzere birden fazla kategorideki hassas verileri hedefler.
.webp)
Tehdit kripto para cüzdanlarını da kapsıyor; kötü amaçlı yazılım özellikle Ledger Live, Trezor Suite, Exodus, Coinomi, Electrum ve Bitcoin Core dahil 15 farklı masaüstü ve donanım cüzdan uygulamasını hedefliyor.
Ayrıca kötü amaçlı yazılım, macOS Keychain veritabanının tamamını, Telegram oturum verilerini, VPN profillerini ve masaüstü ile Belgeler klasörlerindeki dosyaları çalar.
Çalınan tüm veriler toplandıktan sonra sıkıştırılıyor ve şifreli iletişim kullanılarak saldırganın komuta ve kontrol sunucularına aktarılıyor.
Bu kampanya, kötü amaçlı yazılım dağıtımında gelişmiş bir evrimi temsil ediyor ve tehdit aktörlerinin güvenlik önlemlerini atlatmak ve kullanıcı sistemlerini tehlikeye atmak için nasıl yeni yollar bulmaya devam ettiğini gösteriyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
