macOS Hedefli Python Tabanlı Bilgi Hırsızlığı Kampanyalarında Yeni Teknikler

Anasayfa » macOS Hedefli Python Tabanlı Bilgi Hırsızlığı Kampanyalarında Yeni Teknikler
Kimlik Avı, Siber Tehditler, Zararlı Yazılımlar
Şubat 4, 2026Şubat 4, 2026Tarafından Cybernews.TR
0
macOS Hedefli Python Tabanlı Bilgi Hırsızlığı Kampanyalarında Yeni Teknikler

Saldırının Genel Çerçevesi

2025 yılının son çeyreğinde, macOS kullanıcılarını hedef alan karmaşık bilgi hırsızlığı kampanyaları tespit edildi. Saldırganlar, Google Ads üzerinden yayılan kötü amaçlı reklamlar aracılığıyla kullanıcıları sahte web sitelerine yönlendiriyor. Bu sitelerde ClickFix gibi sosyal mühendislik tuzaklarıyla kullanıcıların kendi cihazlarına Python tabanlı zararlılar yüklemeleri sağlanıyor. Kampanyalarda Atomic macOS Stealer (AMOS), MacSync, DigitStealer ve PXA Stealer gibi çeşitli zararlı yazılım aileleri kullanılıyor.

Saldırı Zinciri ve Teknik Detaylar

Kampanyalar, kimlik avı e-postaları ve malvertising teknikleriyle başlıyor. Kullanıcılar, sahte PDF düzenleyiciler (örneğin Crystal PDF) veya sosyal mühendislik yöntemleriyle kandırılarak zararlı DMG yükleyicileri indiriyor. Bu yükleyiciler, dosyasız yürütme teknikleri, AppleScript otomasyonu ve yerel macOS araçları kullanarak sistemde kalıcılık sağlıyor. Komut ve kontrol (C2) iletişimi için Telegram gibi popüler mesajlaşma platformları tercih ediliyor. Ayrıca, WhatsApp gibi uygulamalar kötü amaçlı yazılım dağıtımı ve finansal hesaplara erişim için kullanılıyor.

Çalınan veriler arasında web tarayıcı kimlik bilgileri, oturum çerezleri, iCloud Anahtar Zinciri verileri, geliştirici sırları, kredi kartı numaraları ve kripto para cüzdan bilgileri bulunuyor. PXA Stealer varyantı özellikle Vietnamca konuşan tehdit aktörleriyle ilişkilendiriliyor ve 2025’in son aylarında iki ayrı kimlik avı kampanyasında aktif olarak kullanıldı.

Siber Güvenlik Ekipleri İçin Öneriler

Bu tür saldırılara karşı kurumların aşağıdaki önlemleri alması öneriliyor:

  • Malvertising ve sahte yükleyiciler üzerinden gelen trafiği ağ güvenlik cihazlarıyla sıkı şekilde izleyin.
  • Kimlik avı e-postalarını tespit etmek için gelişmiş e-posta güvenliği çözümleri kullanın.
  • macOS sistemlerde Terminal ve AppleScript aktivitelerini detaylı şekilde loglayarak anormal davranışları tespit edin.
  • iCloud Anahtar Zinciri erişimlerini ve yeni kayıtlı alanlara yapılan POST isteklerini SIEM sistemleriyle takip edin.
  • EDR çözümleri ile dosyasız yürütme ve yerel araçların kötüye kullanımını engelleyin.
  • Telegram ve WhatsApp gibi mesajlaşma uygulamalarının ağ trafiğini analiz ederek şüpheli C2 iletişimlerini belirleyin.
  • MFA (Çok Faktörlü Kimlik Doğrulama) ve ağ segmentasyonu uygulayarak saldırı yüzeyini azaltın.
  • Olay müdahale (incident response) planlarını güncel tutarak hızlı aksiyon alın.

Teknik Özet

  • Kullanılan zararlılar: Atomic macOS Stealer (AMOS), MacSync, DigitStealer, PXA Stealer, Eternidade Stealer, Crystal PDF.
  • Hedef sistemler: macOS ve Windows tabanlı sistemler, özellikle web tarayıcıları ve iCloud Anahtar Zinciri.
  • Saldırı teknikleri: Sosyal mühendislik (ClickFix tuzakları), malvertising, dosyasız yürütme, AppleScript otomasyonu, kimlik avı e-postaları.
  • Komut ve kontrol: Telegram ve WhatsApp mesajlaşma platformları üzerinden iletişim.
  • Önerilen savunma: Gelişmiş e-posta güvenliği, EDR ile dosyasız yürütme tespiti, ağ segmentasyonu, MFA, SIEM ile anomali takibi.

Bu gelişmeler, macOS kullanıcılarının da karmaşık tehditlerle karşı karşıya olduğunu gösteriyor. Kurumların ve bireylerin, e-posta güvenliği ve ağ segmentasyonu gibi temel siber güvenlik uygulamalarını güçlendirmesi, fidye yazılımı ve diğer zararlı saldırılara karşı dirençlerini artıracaktır.

, , , , , , ,