Kaspersky, ChatGPT’nin sohbet paylaşım özelliğini istismar eden macOS bilgi hırsızı kampanyasını ortaya çıkardı

BEĞENDİM

ABONE OL

News

Kaspersky Tehdit Araştırma grubu, fiyatlı Google arama reklamları ve ChatGPT’nin resmi internet sitesinde paylaşılan sohbetler aracılığıyla Mac kullanıcılarını kandırmayı amaçlayan yeni bir ziyanlı yazılım kampanyası tespit etti. Kelam konusu kampanyada saldırganlar, kullanıcıları AMOS (Atomic macOS Stealer) isimli bilgi hırsızı yazılımı ve kalıcı bir art kapıyı aygıtlarına kendi elleriyle kurmaya yönlendiriyor.

Bu kampanyada saldırganlar, “chatgpt atlas” üzere arama sorguları için sponsorlu reklamlar satın alıyor ve kullanıcıları, chatgpt.com alan ismi üzerinde barındırılan “ChatGPT Atlas for macOS” isimli kelamda bir suram rehberine yönlendiriyor. Gerçekte ise bu sayfa, istem mühendisliği (prompt engineering) kullanılarak oluşturulmuş paylaşıma açık bir ChatGPT sohbetinden ibaret. İçerik, sadece adım adım “kurulum” talimatları kalacak halde düzenlenmiş durumda. Rehber, kullanıcılardan tek satırlık bir kodu kopyalamalarını, macOS Terminal’i açarak bu komutu yapıştırmalarını ve istenen tüm müsaadeleri vermelerini istiyor.

Kaspersky araştırmacılarının tahliline nazaran, bu komut atlas-extension[.]com isimli harici bir alan isminden bir betik indirip çalıştırıyor. Betik, sistem komutlarını çalıştırmayı deneyerek doğrulama yapmak gayesiyle kullanıcıdan tekrar tekrar sistem parolasını talep ediyor. Gerçek parola girildiğinde ise betik, AMOS bilgi hırsızını indiriyor, ele geçirilen kimlik bilgilerini kullanarak ziyanlı yazılımı sisteme kuruyor ve çalıştırıyor. Bu enfeksiyon süreci, kullanıcıların uzaktaki sunuculardan kod indirip çalıştıran kabuk komutlarını manuel olarak yürütmeye ikna edildiği ClickFix olarak bilinen tekniğin bir varyasyonunu temsil ediyor.

AMOS, heyetimin akabinde maddi çıkar sağlamak yahut daha sonraki taarruzlarda kullanılmak üzere çeşitli bilgileri topluyor. Ziyanlı yazılım; tanınan tarayıcılardan parola ve çerezleri, Electrum, Coinomi ve Exodus üzere kripto para cüzdanlarına ilişkin bilgileri, ayrıyeten Telegram Desktop ve OpenVPN Connect üzere uygulamalardan bilgileri gaye alıyor. Bununla birlikte Masaüstü, Dokümanlar ve İndirilenler klasörlerinde bulunan TXT, PDF ve DOCX uzantılı belgeleri, Notes uygulaması tarafından saklanan evraklarla birlikte tarıyor ve bu bilgileri saldırganların denetimindeki altyapıya sızdırıyor. Paralel olarak, sistem tekrar başlatıldığında otomatik olarak devreye giren bir art kapı da kuruluyor; bu art kapı saldırganlara uzaktan erişim imkânı sağlıyor ve AMOS ile büyük ölçüde örtüşen bir bilgi toplama mantığıyla çalışıyor.

Bu kampanya, bilgi hırsızı ziyanlı yazılımların 2025 yılının en süratli büyüyen tehditleri arasında yer aldığına işaret eden daha geniş bir eğilimin modülü olarak öne çıkıyor. Saldırganlar, oltalama senaryolarını daha inandırıcı kılmak için yapay zekâ temalarını, uydurma YZ araçlarını ve YZ tarafından üretilmiş içerikleri giderek daha fazla kullanıyor. Son periyotta uydurma YZ tarayıcı kenar çubukları ve tanınan modeller için hazırlanmış geçersiz istemci uygulamaları üzere örnekler görülürken, Atlas temalı bu faaliyet, legal bir YZ platformunun yerleşik içerik paylaşım özelliğinin berbata kullanılmasına kadar uzanıyor.

Kaspersky Ziyanlı Yazılım Analisti Vladimir Gursky, bahisle ilgili şunları söyledi: “Bu hadiseyi tesirli kılan öge, gelişmiş bir teknik açık değil; toplumsal mühendisliğin tanıdık bir yapay zekâ bağlamı içinde sunulması. Sponsorlu bir irtibat, sağlam bir alan ismindeki tertipli bir sayfaya yönlendiriyor ve ‘kurulum rehberi’ tek bir Terminal komutundan ibaret. Birçok kullanıcı için bu inanç ve kolaylık birleşimi, alışıldık temkin düzeneklerini devre dışı bırakmaya yetiyor. Meğer sonuç, sistemin büsbütün ele geçirilmesi ve saldırgan için uzun vadeli erişim manasına geliyor.”

Kaspersky, kullanıcılara şu tekliflerde bulunuyor:

Özellikle bir web sitesi, evrak ya da sohbet üzerinden tek satırlık bir betiğin kopyalanıp yapıştırılmasını içeren ve Terminal yahut PowerShell çalıştırılmasını isteyen, talep edilmemiş “rehberlere” karşı temkinli olun.
Talimatlar net değilse bu tıp sayfaları kapatın yahut iletileri silin; devam etmeden evvel bilgili bir kaynaktan görüş alın.
Şüpheli komutları çalıştırmadan evvel, kodun ne yaptığını anlamak için başka bir yapay zekâ yahut güvenlik aracına yapıştırarak incelemeyi değerlendirin.
macOS ve Linux sistemler dâhil olmak üzere tüm aygıtlarda, Kaspersky Premium gibi saygın bir güvenlik yazılımı kullanarak bilgi hırsızlarını ve alakalı ziyanlı yükleri tespit edip engelleyin.

Kaynak: (BYZHA) Beyaz Haber Ajansı