Mac kullanıcıları için yeni bir tehdit kapıda: CrashStealer. Bu macOS bilgi hırsızı (infostealer), kendini Apple'ın CrashReporter bileşeni olarak gizliyor. Apple tarafından noter onaylı bir yükleyici kullanarak Gatekeeper'ı atlatıyor ve kullanıcıları şifrelerini vermeleri için kandırıyor. Ardından tarayıcıları, şifre yöneticilerini, kripto para cüzdanlarını ve Keychain sırlarını sistematik olarak yağmalıyor. Çalınan veriler AES şifreli paketler halinde dışarı sızdırılıyor.
Araştırmacılar CrashStealer'ı Mayıs 2026'dan beri takip ediyor. Kötü amaçlı yazılım, CrashReporter.app adını alarak Apple'ın orijinal bileşenini taklit ediyor. Ayrıca com.apple.crashreporter.helper adlı bir LaunchAgent oluşturuyor ve meşru aracın simgesi ile meta verilerini kullanarak güvenilir görünmeye çalışıyor. Bu sayede kullanıcıların şüphelenmesi zorlaşıyor.
Gatekeeper, macOS'in kapıdaki güvenlik görevlisi gibidir; bir uygulamanın çalışmasına izin vermeden önce güvenli olup olmadığını kontrol eder. CrashStealer, Apple tarafından noter onaylı bir yükleyici kullanarak Gatekeeper'ı aşıyor. Noter onayı, Apple'ın yazılımı otomatik kontrollerden geçirdiği ve güvenli olarak işaretlediği anlamına gelir. Ancak bu, Apple'ın kötü amaçlı yazılımı bilerek onayladığı anlamına gelmez; saldırganlar bu güveni kötüye kullanıyor.
Noter onaylı yükleyici 'Werkbit Setup' adını taşıyor ve Haziran sonunda kaydedilmiş sahte bir yazılım sitesinden dağıtılıyor. Siteye erişim bir toplantı PIN kodu ile korunuyor, bu da hedef odaklı ve davetiyeli bir kampanyaya işaret ediyor. Kullanıcılar, bir toplantı veya işbirliği aracı için bu yazılımı indirmeye yönlendiriliyor.
Sistem Güvenliği
Yükleyici çalıştırıldığında, macOS'un yönetici izni gerektiren meşru işlemlerinde görülen sahte bir şifre istemi gösteriyor. Kullanıcı şifresini girdiğinde, kötü amaçlı yazılım bu şifreyi kullanarak Keychain'in kilidini açıyor. Keychain, macOS'ta şifrelerin ve hassas verilerin şifrelenmiş bir kasada saklandığı yerdir. Ardından tarayıcı kimlik bilgileri, çerezler, kripto para cüzdanı eklentileri, şifre yöneticisi verileri ve kullanıcı dizinlerindeki küçük dosyalar çalınıyor. Tüm veriler şifrelenerek bir komuta ve kontrol (C2) sunucusuna gönderiliyor.
Sonuç ve Değerlendirme
CrashStealer, macOS'un da kimlik avı ve bilgi hırsızlığı operasyonlarının hedefinde olduğunu gösteriyor. Noter onayı ve Gatekeeper birçok riski azaltsa da, katmanlı savunmalar, dikkatli kullanıcı davranışı ve sürekli tehdit izleme ihtiyacını ortadan kaldırmıyor. Kullanıcıların 'CrashReporter' indirmelerine şüpheyle yaklaşması, PIN korumalı yükleyicilere karşı dikkatli olması ve tanımadığı uygulamalardan gelen şifre istemlerini kırmızı bayrak olarak görmesi gerekiyor. Ayrıca macOS için güvenilir güvenlik yazılımı kullanmak ve yüksek değerli kripto cüzdanları ile günlük tarayıcı kimlik bilgilerini aynı cihazda tutmamak önemli. Malwarebytes, CrashStealer'ı MacOS.Stealer.Crash olarak tespit ediyor.
Kaynak: malwarebytes.com