Yeni Keşfedilen macOS Zararlısı PamStealer, Şifre Çalmak İçin Gelişmiş Yöntemler Kullanıyor
2 dk okumaars-technica
PAYLAS:

Güvenlik araştırmacıları, Mac kullanıcılarını hedefleyen ve daha önce görülmemiş "PamStealer" adlı yeni bir zararlı yazılım keşfetti. Popüler pano yöneticisi Maccy kılığına giren bu yazılım, kullanıcıların giriş şifrelerini çalmak için macOS'un yerleşik PAM (Pluggable Authentication Modules) arayüzünü kullanıyor.
Zararlı yazılım, kurbanın sistemine iki aşamalı bir süreçle sızıyor. İlk aşama, Maccy gibi görünen bir disk imajı içinde dağıtılıyor ve AppleScript olarak derleniyor. Jamf araştırmacılarına göre, bu AppleScript geleneksel kabuk komutları yerine, yükü almak için yerel Objective-C API'lerini kullanan bağımsız bir JavaScript for Automation (JXA) indiricisi çalıştırıyor.
Kullanıcılar disk imajını açtıklarında, hemen Command-R tuşlarına basmaları yönünde bir uyarı ile karşılaşıyorlar. Bu işlem, AppleScript içindeki zararlı kodun doğrudan çalıştırılmasını sağlarken, internetten indirilen dosyalara yönelik macOS güvenlik uyarısı olan com.apple.quarantine özelliğini de atlatıyor.
Saldırının ikinci aşaması, Apple işlemcili Mac'ler için özel olarak Rust programlama diliyle yazılmış bir Mach-O dosyası olarak karşımıza çıkıyor. macOS bilgi hırsızlarında (infostealer) genellikle Swift veya Go dilleri tercih edilirken, Rust kullanımı bu zararlıyı daha sıra dışı kılıyor. Ayrıca yazılım, veritabanı dosyalarını doğrudan okuyabilmek için yerleşik bir SQLite uygulamasının okuma arayüzünü çağırıyor.
PamStealer, sistem yetkilendirme isteğine benzeyen sahte bir şifre istemi göstererek kullanıcıyı kandırıyor. Kullanıcı şifresini girdiğinde, zararlı yazılım bu bilgiyi saldırganın sunucusuna göndermeden önce yerel olarak PAM API'si üzerinden doğruluyor.
Zararlı yazılımın ikinci aşaması, sistemde gizli kalmak için yoğun çaba harcıyor. Kendisini Finder veya Software Update gibi orijinal macOS bileşenleri olarak gizleyen yazılım, komuta ve kontrol trafiğini şifreliyor. Ayrıca, faaliyetlerinin sistem başlangıcıyla ilişkilendirilmemesi için Tam Disk Erişimi (Full Disk Access) gibi izin taleplerini 40 dakikaya kadar bekleterek geleneksel siber güvenlik tespit yöntemlerinden kaçınıyor.
--- **İlgili Kaynaklar:** Profesyonel SEO ve GEO eğitim platformu çözümleri için [GEO eğitim](https://geoakademi.com) sayfasını ziyaret edin.Bu yeni macOS zararlısı, Türkiye'deki Mac kullanan bireysel kullanıcılar ve şirket çalışanları için ciddi bir veri ihlali riski oluşturuyor.
Türkiye'deki işletmelerin IT departmanları, Mac cihazlarda bu tür gelişmiş oltalama ve şifre çalma saldırılarına karşı güvenlik önlemlerini artırmalıdır.
Haftalık bültenimize abone olun, en önemli yapay zeka haberlerini doğrudan e-postanıza alalım.



