macOS'ta CrashStealer: Sahte çökme raporu Mac parolasını istiyor

CrashStealer sahte çökme raporuyla Mac parolalarını çalıyor
© RusPhotoBank

Jamf Threat Labs araştırmacıları, kendisini bir uygulama çökmesine ait sistem raporu gibi gösteren yeni bir macOS zararlı yazılımı keşfetti. CrashStealer adı verilen yazılım, Mac parolasını ele geçirmek için sahte bir çökme penceresi kullanıyor.

Parola girildiğinde CrashStealer çok sayıda kişisel veriye erişebiliyor. Parola yöneticileri, kripto para cüzdanları ve cihazda saklanan diğer hassas bilgiler risk altında. Jamf'a göre ilk CrashStealer örnekleri mayıs ayının başında izlenmeye başladı; temmuz başında ise zararlı yazılımın gerçek saldırılarda kullanıldığına dair işaretler ortaya çıktı.

CrashStealer, Werkbit Setup adlı bir disk görüntüsü üzerinden dağıtıldı. İçinde Werkbit.app uygulaması bulunuyor, çalıştırılabilir dosya ise veltod adını taşıyordu. Yöntemi özellikle tehlikeli kılan nokta, ilk aşamada DMG'nin ve uygulamanın geçerli bir Apple Developer ID imzasına ve noter onayına sahip olmasıydı. Bu sayede Gatekeeper ilk çalıştırmada dosyalara izin veriyordu.

Macworld'e göre Apple geliştirici kimlik bilgilerini geri çekti, dolayısıyla Gatekeeper tehdidin bu sürümünü tanımalı. Yine de dikkatli olmak gerekiyor: saldırganlar paketlemeyi, imzaları ve dosya adlarını değiştirirken saldırının temel işleyişini koruyabilir.

Temel öneri değişmiyor — uygulamalar yalnızca Mac App Store'dan veya güvenilir geliştiricilerin resmi sitelerinden indirilmeli. Beklenmedik çökme raporları ve parola istekleri de şüpheyle karşılanmalı; özellikle bir pencere “Sistem Ayarları”nın değişiklik yapmak istediğini söylüyorsa.