CrashStealer: Apple Noterli Sahte Uygulama Mac Şifrelerinizi Çalıyor Siber Güvenlik

CrashStealer: Apple Noterli Sahte Uygulama Mac Şifrelerinizi Çalıyor

CrashStealer, macOS'ta CrashReporter'ı taklit eden, noter onaylı kurulumla Gatekeeper'ı aşan ve kullanıcıların şifrelerini çalarak tarayıcı, şifre yön

Mac kullanıcılarını hedef alan yeni bir kötü amaçlı yazılım olan CrashStealer, kendini Apple'ın CrashReporter bileşeni olarak gizliyor. Mayıs 2026'dan beri geliştirilen bu infostealer, CrashReporter.app adını kullanıyor ve com.apple.crashreporter.helper adında bir LaunchAgent oluşturuyor. Meşru aracın simgesini ve meta verilerini kopyalayarak son derece güvenilir görünüyor.

Gatekeeper, macOS'in kapıdaki fedaisi gibi çalışır ve bir uygulamanın çalışmasına izin vermeden önce güvenli olup olmadığını kontrol eder. CrashStealer, noter onaylı bir kurulum dosyası kullanarak bu denetimi aşıyor. Apple'ın otomatik kontrollerinden geçen bu kurulum, 'Werkbit Setup' adı taşıyor ve Haziran sonunda kaydedilen sahte bir yazılım sitesi ile dağıtılıyor. Siteye erişim bir toplantı PIN kodu ile korunuyor, bu da hedefli ve davetiyeli bir kampanya olduğunu gösteriyor.

Çalıştırıldığında, zararlı yazılım sahte bir macOS şifre istemcisi gösteriyor. Kullanıcılar, yönetici yetkisi gerektiren meşru bir işlem sırasında bu istemi görmeye alışkın oldukları için şifrelerini giriyor. Ancak aslında bu şifre, macOS'un şifreli kasası olan Keychain'in kilidini açmak için kullanılıyor. Keychain'de tarayıcı şifreleri, Wi-Fi anahtarları ve diğer hassas veriler bulunuyor.

CrashStealer daha sonra tarayıcı kimlik bilgilerini, çerezleri, kripto para cüzdan eklentilerini, şifre yöneticisi verilerini ve kullanıcı klasörlerindeki küçük dosyaları çalıyor. Toplanan veriler AES şifreleme ile paketlenip komuta ve kontrol (C2) sunucusuna gönderiliyor. Bu yöntem, verilerin ele geçirilmesini zorlaştırıyor.

Sistem Güvenliği

CrashStealer, macOS'in artık kimlik avı ve bilgi hırsızı saldırılarının hedefi olduğunu gösteriyor. Noter onayı ve Gatekeeper birçok riski azaltsa da, katmanlı savunmalar, dikkatli kullanıcı davranışları ve sürekli tehdit izleme ihtiyacını ortadan kaldırmıyor. Güvende kalmak için CrashReporter benzeri indirmelere şüpheyle yaklaşın; Apple'ın kendi araçları işletim sistemiyle gelir, üçüncü taraf sitelerden indirmeyin.

Gelecekte Ne Bekleniyor?

PIN korumalı kurulumlara karşı dikkatli olun. Bir toplantı daveti veya işbirliği aracı, tanımadığınız bir alan adından yazılım indirmenizi ve özel bir PIN girmenizi istiyorsa, talebi ayrı bir güvenilir kanaldan doğrulayın. Yeni veya tanımadığınız bir uygulamayı başlattıktan hemen sonra gelen şifre istemini kırmızı bayrak olarak görün. Güvenilir bir macOS güvenlik yazılımı kullanın ve hem yazılımı hem de macOS'i güncel tutun. Yüksek değerli kripto cüzdanlarını, şifre kasalarını ve günlük tarayıcı bilgilerini aynı makine ve kullanıcı profilinde tutmaktan kaçının.

Kaynak: malwarebytes.com

Paylaş: