Mac'leri Hedef Alan Yeni Tehlike: CrashStealer Verileri Nasıl Çalıyor?
2 dk okumashiftdelete
PAYLAS:

Apple kullanıcılarını hedef alan CrashStealer adlı yeni bir bilgi hırsızı (infostealer) ortaya çıktı. Apple'ın kendi çökme raporlama aracını taklit eden bu zararlı yazılım, geçerli geliştirici sertifikaları kullanarak macOS güvenlik sistemlerini aşıyor ve kullanıcıların parolalarından kripto para cüzdanlarına kadar birçok kritik verisini ele geçiriyor.
İlk olarak Mayıs 2026'da tespit edilen ve Temmuz ayında aktif saldırılarda kullanılmaya başlanan CrashStealer, doğrudan C++ ile geliştirilmiş sofistike bir tehdit olarak öne çıkıyor. Zararlı yazılım; Mac giriş parolalarını, Keychain verilerini, tarayıcı geçmişini, parola yöneticilerini ve kripto para cüzdanlarını hedef alıyor. Sisteme sızdıktan sonra kişisel dosyaları da kopyalayabilen bu araç, kullanıcıların dijital kimliklerini ciddi şekilde tehlikeye atıyor.
Saldırının en dikkat çekici yanlarından biri, macOS'in yerleşik güvenlik sistemi olan Gatekeeper'ı atlatabilmesi. Saldırı, "Werkbit Setup" adıyla dağıtılan bir disk kalıbı üzerinden başlatılıyor. Bu uygulama, geçerli bir Apple Developer ID sertifikası taşıyor ve Apple'ın noterleme sürecinden geçmiş durumda. Bu sayede, hem Apple Silicon hem de Intel işlemcili Mac'lerde hiçbir standart güvenlik uyarısı vermeden çalışabiliyor.
Zararlı yazılımın dağıtımı, sahte bir çevrimiçi toplantı ve iş birliği platformu üzerinden gerçekleştiriliyor. Tanınmış şirketlerin logolarını kullanan bu sahte siteye giren kurbanların, uygulamayı indirebilmek için özel bir toplantı PIN'i girmesi gerekiyor. Bu yöntem, güvenlik araştırmacılarının ve otomatik analiz araçlarının zararlı dosyaya erişimini zorlaştırarak saldırının gizliliğini artırıyor.
Kullanıcı sahte kurulum sürecini başlattığında, uygulama arka planda GitHub üzerinden bir önbellek dosyası indiriyor. Bu dosya içindeki curl komutu, saldırganların sunucusundan ikinci aşama betiğini çekiyor. Base64 ile üç katmanlı olarak gizlenen bu komutlar, doğrudan Bash kabuğuna aktarılarak diske kaydedilmeden çalıştırılıyor. Bu dosyasız (fileless) çalışma mantığı, güvenlik yazılımlarının tespitini zorlaştırıyor.
Son aşamada ise asıl zararlı dosya olan CrashReporter.app, Mac'in gizli bir klasörüne kopyalanıyor. Uygulama, "com.apple.crashreporter" paket kimliğini ve Apple'ın orijinal simgelerini kullanarak kendini sistemin yasal bir parçası gibi gösteriyor. Ayrıca bir LaunchAgent oluşturarak sistem her yeniden başlatıldığında otomatik olarak çalışmayı garanti altına alıyor. Kullanıcılar arka plan işlemlerini kontrol ettiğinde, sadece Apple'a aitmiş gibi görünen yasal isimlerle karşılaşıyor.
--- **İlgili Kaynaklar:** Profesyonel SEO ve GEO eğitim platformu çözümleri için [GEO eğitim](https://geoakademi.com) sayfasını ziyaret edin.Türkiye'deki bireysel ve kurumsal Mac kullanıcıları, bu yeni zararlı yazılım nedeniyle ciddi veri ihlali riskiyle karşı karşıya kalabilir.
Özellikle tasarım, yazılım ve medya sektörlerinde yoğun olarak Mac kullanan Türk şirketleri, kurumsal veri sızıntılarına ve fikri mülkiyet hırsızlığına karşı risk altında.
Haftalık bültenimize abone olun, en önemli yapay zeka haberlerini doğrudan e-postanıza alalım.



