Siber güvenlik araştırmacıları, Mayıs 2026'dan bu yana geliştirilen CrashStealer adlı yeni bir macOS bilgi hırsızını tespit etti. Bu kötü amaçlı yazılım, Apple'ın CrashReporter bileşenini taklit ederek CrashReporter.app adını kullanıyor ve meşru aracın simgesi ile meta verilerini kopyalayarak güvenilir görünmeyi hedefliyor. Ayrıca com.apple.crashreporter.helper adlı bir LaunchAgent oluşturuyor.
CrashStealer'ın en dikkat çekici özelliği, Apple'ın Gatekeeper güvenlik mekanizmasını aşmak için Apple onaylı (notarized) bir yükleyici kullanması. Gatekeeper, uygulamaların çalıştırılmadan önce güvenli olup olmadığını kontrol eden macOS'un kapı görevlisidir. Apple tarafından taranmış ve onaylanmış bir yükleyici kullanarak, kötü amaçlı yazılım Gatekeeper'ı alarm vermeden geçmeyi başarıyor. Bu, Apple'ın otomatik kontrollerini geçen yükleyicinin güvenin kötüye kullanılması anlamına geliyor.
Werkbit Setup adı verilen onaylı yükleyici, Haziran ayı sonunda kaydedilen sahte bir yazılım sitesinden dağıtılıyor ve bir toplantı PIN kodu ile korunuyor. Bu durum, hedefli ve davetiye esaslı bir kampanyaya işaret ediyor. Kullanıcı, yükleyiciyi çalıştırdığında sahte bir macOS şifre istemi ile karşılaşıyor. Bu istem, meşru bir sistem işlemi sırasında görülen şifre istemine benziyor. Aslında kötü amaçlı yazılım, bu şifreyi kullanarak kullanıcının Keychain'ini (şifre kasası) açıyor ve tüm hassas verilere erişiyor.
Gelecekte Ne Bekleniyor?
CrashStealer daha sonra tarayıcı kimlik bilgilerini ve çerezlerini, kripto para cüzdanı eklentilerini, şifre yöneticisi verilerini ve kullanıcı dizinlerindeki küçük dosyaları çalıyor. Çalınan veriler AES şifrelemesi ile şifreleniyor ve bir komuta ve kontrol (C2) sunucusuna gönderiliyor. Araştırmacılar, macOS'un artık kimlik bilgisi hırsızlığı operasyonlarının hedefi haline geldiğini ve CrashStealer'ın bu tehdidin bir örneği olduğunu vurguluyor.
CrashStealer, macOS kullanıcıları için önemli bir uyarı niteliği taşıyor. Apple'ın noterleştirme ve Gatekeeper gibi güvenlik önlemleri riskleri azaltıyor ancak katmanlı savunma, dikkatli kullanıcı davranışı ve sürekli tehdit izleme ihtiyacını ortadan kaldırmıyor. Kullanıcıların, üçüncü taraf sitelerden CrashReporter uygulaması indirmemeleri, PIN korumalı yükleyicilere karşı dikkatli olmaları ve tanıdık olmayan uygulamalardan gelen şifre istemlerini kırmızı bayrak olarak değerlendirmeleri öneriliyor.
Detaylar ve Etkileri
Korunmak için güvenilir macOS güvenlik yazılımları kullanmak, macOS ve güvenlik yazılımını güncel tutmak, yüksek değerli kripto cüzdanlarını ve şifre yöneticilerini günlük tarama kimlik bilgilerinden ayrı tutmak önem taşıyor. Malwarebytes, CrashStealer'ı MacOS.Stealer.Crash olarak tespit ediyor. Bu tehdit, sadece başlıklarda kalmamalı; cihazlarınızı korumak için harekete geçmelisiniz.
Kaynak: malwarebytes.com