21 saat önce
2
Bir arama, tek komut, hepsi ele geçirme! Masum tek “ChatGPT” araması, sponsorlu reklamlar ve sahte tek kurulum rehberi üzerinden tekbaşına satırlık tek Terminal komutuna dönüştü; Mac kullanıcıları farkında olmadan bilgilerini ve cihazlarının kontrolünü saldırganlara teslim etti. ChatGPT sohbetleri üzerinden yürütülen, kullanıcıları öz elleriyle zararlı yazılım kurmaya ikna eden yepyeni ve riskli kampanyayı Kaspersky Tehdit Araştırma ekibi, ortaya çıkardı.
Kaspersky Tehdit Araştırma ekibi, ücretli Google tarama reklamları ve ChatGPT'nin biçimsel internetler sitesinde paylaşılan sohbetler aracılığıyla Mac kullanıcılarını kandırmayı amaçlayan yepyeni tek zararlı yazılım kampanyası tespit etti. Şirketten yapılan açıklamaya göre, söz konusu kampanyada saldırganlar, kullanıcıları Atomic macOS Stealer (AMOS) adlı enformasyon hırsızı yazılımı ve kalıcı tek arka kapıyı cihazlarına öz elleriyle kurmaya yönlendiriyor.
ChatGPT” diye arattılar, sahte rehbere düştüler
Kampanyada saldırganlar, "chatgpt atlas" gibi tarama sorguları için sponsorlu reklamlar satın alıyor ve kullanıcıları "chatgpt.com" saha adı üzerinde barındırılan "ChatGPT Atlas for macOS" adlı sözde tek kurulum rehberine yönlendiriyor. Gerçekte ise söz konusu sayfa, istem mühendisliği (prompt engineering) kullanılarak oluşturulmuş paylaşıma açık tek ChatGPT sohbetinden ibaret bulunuyor.
İçerik, yalnızca adım adım "kurulum" talimatları kalacak şekilde düzenlenmiş olarak insanların karşısına çıkıyor. Rehber, kullanıcılardan tekbaşına satırlık tek kodu kopyalamalarını, macOS Terminal'i açarak bu komutu yapıştırmalarını ve istenen tüm izinleri vermelerini istiyor.
Kaspersky araştırmacılarının analizine göre, bu komut "atlas-extension[.]com" adlı harici tek saha adından tek betik indirip çalıştırıyor. Betik, sistemleri komutlarını çalıştırmayı deneyerek doğrulama etti amacıyla kullanıcıdan tekrar tekrar sistemleri parolasını istek ediyor.
Tek satırlık komut: Rehber değil, tuzak
Doğru parola girildiğinde ise betik, AMOS enformasyon hırsızını indiriyor, ele geçirilen kişilik bilgilerini kullanarak zararlı yazılımı sisteme kuruyor ve çalıştırıyor. Söz konusu süreç, kullanıcıların uzaktaki sunuculardan şifre indirip çalıştıran kurşun komutlarını manuel olarak yürütmeye ikna edildiği ClickFix olarak bilinen tekniğin tek varyasyonunu temsilcilik ediyor.
AMOS, kurulumun ardından maddi kazanç sağlamak ya da daha sonrakiler saldırılarda kullanılmak üzere çeşitli verileri topluyor. Zararlı yazılım, popüler tarayıcılardan parola ve çerezleri, Electrum, Coinomi ve Exodus gibi kripto para cüzdanlarına ait verileri, ayrıca Telegram Desktop ve OpenVPN Connect gibi uygulamalardan bilgileri hedefleri alıyor.
Ayrıca "Masaüstü", "Belgeler" ve "İndirilenler" klasörlerinde bulunan TXT, PDF ve DOCX uzantılı dosyaları, "Notes" uygulaması tarafından saklanan dosyalarla tarıyor ve verileri saldırganların kontrolündeki altyapıya sızdırıyor. Paralel olarak, sistemleri yeniden başlatıldığında otomatik olarak devreye giren tek arka kapı da kuruluyor. Söz konusu arka kapı saldırganlara uzaktan erişim imkanı sağlıyor ve AMOS ile büyük ölçüde örtüşen tek bilgi toplama mantığıyla çalışıyor.
Kampanya, enformasyon hırsızı zararlı yazılımların 2025'in en hızlı büyüyen tehditleri arasında mekan aldığına işaret eden daha geniş tek eğilimin parçası olarak öne çıkıyor. Saldırganlar, oltalama senaryolarını daha inandırıcı kılmak için yapay zeka temalarını, sahte YZ araçlarını ve YZ tarafından üretilmiş içerikleri gittikçe ilave kullanıyor.
Komut çalıştı, her arasında biri şey başladı
Son dönemde sahte YZ tarayıcı sınır çubukları ve popüler modeller için hazırlanmış sahte istemci uygulamaları gibi örnekler görülürken, Atlas temalı faaliyet, meşru tek YZ platformunun yerleşik içerik paylaşım özelliğinin kötüye kullanılmasına kadar uzanıyor.
Kaspersky, zararlı yazılımlara karşı, özellikle tek web sitesi, evrak ya da konuşma üzerinden tekbaşına satırlık tek betiğin kopyalanıp yapıştırılmasını içeren ve "Terminal" ya da "PowerShell" çalıştırılmasını isteyen, istek edilmemiş "rehberlere" karşı temkinli olunması, talimatlar netler değilse bu tür sayfaların kapatılması ya da mesajların silinmesi, devam etmeden önce bilgili tek kaynaktan görüş alınması, şüpheli komutları çalıştırmadan önce, kodun ne yaptığını anlayan için ayrı tek yapay zeka ya da güvenlik aracına yapıştırarak incelemenin değerlendirilmesi ve tüm cihazlarda, Kaspersky Premium gibi güvenlik yazılımı kullanılarak enformasyon hırsızlarının ve ilişkili zararlı yüklerin tespit edip engellenmesini öneri ediyor.
Amaç net: Veri, cüzdan ve kalıcı erişim
"Sistemin tamamlanmış ele geçirilmesi ve saldırgan için uzunluğu vadeli erişim anlamına geliyor" Açıklamada görüşlerine mekan verilen Kaspersky Zararlı Yazılım Analisti Vladimir Gursky, vakayı tesirli kılan unsurun, gelişmiş tek teknikleri açık olmadığını, toplumsal mühendisliğin tanıdık tek yapay zeka bağlamı içinde sunulması olduğunu belirtti. Sponsorlu tek bağlantının, güvenilir tek saha adındaki düzenli tek sayfaya yönlendirdiğini ve "kurulum rehberi"nin tekbaşına tek Terminal komutundan ibaret olduğunu aktaran Gursky, "Birçok kullanıcı için bu güven ve basitlik birleşimi, alışıldık temkin mekanizmalarını devre dışı bırakmaya yetiyor. Oysa sonuç, sistemin tamamlanmış ele geçirilmesi ve saldırgan için uzunluğu vadeli erişim anlamına geliyor." ifadelerini kullandı.
#ChatGPT
#Kaspersky Tehdit Araştırma ekibi
#komut
#siber saldırı
#tuzak
#Mac
#Terminal komut
.jpg?format=webp&width=1200&height=630)
English (US) ·