Gelişmiş bir kötü amaçlı reklamcılık kampanyası, macOS kullanıcılarına kimlik bilgileri çalan kötü amaçlı yazılımlar sunmak için ChatGPT ve DeepSeek’in paylaşılan sohbet özelliklerinden yararlanıyor.
Tehdit aktörleri, sponsorlu Google arama sonuçlarını satın alıyor ve kurbanları, platform düzeyindeki güvenlik mekanizmalarını etkili bir şekilde atlayarak, gizlenmiş kötü amaçlı komutlar içeren meşru görünen LLM tarafından oluşturulmuş sohbet oturumlarına yönlendiriyor.
Saldırı, kullanıcıların “Mac’te depolama alanının nasıl temizleneceği” gibi genel macOS sorun giderme sorgularını aramasıyla başlıyor.
Sponsorlu Google arama sonuçları, mağdurları zararsız görünen ancak meşru sistem bakım talimatları olarak gizlenen kötü amaçlı terminal komutları içeren paylaşılan ChatGPT ve DeepSeek sohbet bağlantılarına yönlendiriyor.
Komutlar, makul inkar edilebilirliği korurken ilk tespitten kaçınmak için base64’te kodlanmıştır.
Çalıştırıldığında, ilk bash betiği birkaç kritik işlevi gerçekleştirir. Meşru macOS kimlik doğrulamasını taklit eden bir parola istemi döngüsü oluşturur, dscl kimlik doğrulama kontrollerini kullanarak girilen parolayı doğrular ve toplanan kimlik bilgilerini /tmp/.pass dosyasında saklar.
Komut dosyası daha sonra birincil kötü amaçlı yazılım yükünü, hassas verileri çalmak ve kalıcılık oluşturmak için tasarlanmış yerel bir macOS ikili dosyasını indirir.
Çok Aşamalı Kötü Amaçlı Yazılım: Shamus Stealer
Analiz, indirilen yükün, tersine mühendislikten kaçınmak için karmaşık gizleme teknikleri kullanan, bilinen bir bilgi hırsızı ve kripto hırsızı kötü amaçlı yazılım olan Shamus olduğunu ortaya koyuyor.
Paylaşılan sohbet, Mac’inizin belleğini temizlemek için bir terminal komutunun nasıl çalıştırılacağına ilişkin talimatlar içerir.
İkili sistem, aritmetik işlemleri XOR kodlaması ve karma tablo alfabesi tarafından yönlendirilen özel Base64 benzeri kod çözücüyle birleştiren çok aşamalı bir kod çözme işlemi kullanır.
Bu yaklaşım, basit dize çıkarma araçlarının statik analiz sırasında kötü amaçlı yazılım yeteneklerini ortaya çıkarmasını önler.
Kötü amaçlı yazılım yürütüldükten sonra, analiz sanal alanlarını ve sanallaştırılmış ortamları tespit etmek için ortam kontrolleri gerçekleştirir.
QEMU, VMware veya belirli donanım seri numaraları gibi algılama göstergeleri bulunursa, kötü amaçlı yazılım, yükünü yürütmeden çıkar. Kötü amaçlı yazılım daha sonra devam eden kötü amaçlı etkinliği gizlemek için Terminal uygulamasını gizler.
6 bitlik bir değer elde etmek için her karakter bu tablodan aranır. Bu 6 bitlik parçalar, en az 8 bit mevcut olana kadar biriktirilir, ardından bir çıkış baytı üretilir.
Kötü amaçlı yazılımın birincil yükü, hassas verileri sistematik olarak çıkarmak için tasarlanmış 800 satırlık bir AppleScript’tir.
12 farklı Chromium tabanlı tarayıcıyı (Chrome, Brave, Edge, Opera çeşitleri) ve Firefox tabanlı tarayıcıları hedef alarak çerezleri, göz atma geçmişini, oturum açma kimlik bilgilerini ve yerel depolama verilerini çalar.
Kripto para hırsızlığı yetenekleri özellikle endişe vericidir. Kötü amaçlı yazılım, özellikle MetaMask dahil 200’den fazla kripto para cüzdanı tarayıcı uzantısını hedefliyor ve tüm uzantı dizinlerini ve IndexedDB verilerini ayıklıyor.
Masaüstü cüzdanlar için Bitcoin Core, Electrum, Exodus, Ledger Live ve Trezor Suite’i kapsayan 15 farklı uygulamayı hedefliyor.
Kötü amaçlı yazılım ayrıca tüm macOS Anahtar Zinciri veritabanını, system_profiler aracılığıyla sistem bilgilerini, Telegram oturum verilerini, OpenVPN profillerini ve .wallet, .key, .json ve .db gibi uzantılara sahip Masaüstü, Belgeler ve İndirilenler klasörlerindeki dosyaları toplar.
Kalıcılık ve Uygulama
Kötü amaçlı yazılım, erişimi sürdürmek için kök olarak çalışan bir LaunchDaemon yükler ve bot ikili dosyasını her saniye kullanıcı ayrıcalıklarıyla çalıştıran bir kalıcılık aracısı çalıştırır.
Bu, kötü amaçlı yazılımın sistem yeniden başlatmalarından ve sonlandırıldığında otomatik yeniden başlatmadan sağ çıkmasını sağlar.
En rahatsız edici olanı, kötü amaçlı yazılımın uygulama trojanlaştırması gerçekleştirmesi ve meşru kripto para birimi cüzdan uygulamalarını, özellikle Ledger Live’ı, kullanıcılar donanım cüzdanlarını kullanırken bile işlemleri engelleyen ve kripto para birimini çalan, güvenliği ihlal edilmiş sürümlerle değiştirerek.
C2 altyapısı, 45.94.47.205/contact adresine HTTP POST istekleri aracılığıyla iletişim kurar; çalınan veriler ZIP arşivlerinde paketlenir ve kullanıcı tanımlayıcıları ve yapı kimliklerini içeren özel başlıklarla curl kullanılarak sızdırılır.
Kuruluşlar, kullanıcıları sponsorlu arama sonuçlarına tıklamanın riskleri konusunda eğitmeli, kötü amaçlı yazılım yürütme kalıplarını belirlemek için uç nokta algılama ve yanıt çözümleri uygulamalı ve şüpheli macOS LaunchDaemon kurulumlarını izlemelidir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.