Bir arama, bir komut, tam ele geçirme! Masum bir “ChatGPT” araması, sponsorlu reklamlar ve sahte bir kurulum rehberi üzerinden tek satırlık bir Terminal komutuna dönüştü; Mac kullanıcıları farkında olmadan bilgilerini ve cihazlarının kontrolünü saldırganlara teslim etti. ChatGPT sohbetleri üzerinden yürütülen, kullanıcıları kendi elleriyle zararlı yazılım kurmaya ikna eden yeni ve tehlikeli kampanyayı Kaspersky Tehdit Araştırma ekibi, ortaya çıkardı.
Kaspersky Tehdit Araştırma ekibi, ücretli Google arama reklamları ve ChatGPT'nin resmi internet sitesinde paylaşılan sohbetler aracılığıyla Mac kullanıcılarını kandırmayı amaçlayan yeni bir zararlı yazılım kampanyası tespit etti. Şirketten yapılan açıklamaya göre, söz konusu kampanyada saldırganlar, kullanıcıları Atomic macOS Stealer (AMOS) adlı bilgi hırsızı yazılımı ve kalıcı bir arka kapıyı cihazlarına kendi elleriyle kurmaya yönlendiriyor.
ChatGPT” diye arattılar, sahte rehbere düştüler
Kampanyada saldırganlar, "chatgpt atlas" gibi arama sorguları için sponsorlu reklamlar satın alıyor ve kullanıcıları "chatgpt.com" alan adı üzerinde barındırılan "ChatGPT Atlas for macOS" adlı sözde bir kurulum rehberine yönlendiriyor. Gerçekte ise söz konusu sayfa, istem mühendisliği (prompt engineering) kullanılarak oluşturulmuş paylaşıma açık bir ChatGPT sohbetinden ibaret bulunuyor.
İçerik, yalnızca adım adım "kurulum" talimatları kalacak şekilde düzenlenmiş olarak insanların karşısına çıkıyor. Rehber, kullanıcılardan tek satırlık bir kodu kopyalamalarını, macOS Terminal'i açarak bu komutu yapıştırmalarını ve istenen tüm izinleri vermelerini istiyor.
Kaspersky araştırmacılarının analizine göre, bu komut "atlas-extension[.]com" adlı harici bir alan adından bir betik indirip çalıştırıyor. Betik, sistem komutlarını çalıştırmayı deneyerek doğrulama yapmak amacıyla kullanıcıdan tekrar tekrar sistem parolasını talep ediyor.
Tek satırlık komut: Rehber değil, tuzak
Doğru parola girildiğinde ise betik, AMOS bilgi hırsızını indiriyor, ele geçirilen kimlik bilgilerini kullanarak zararlı yazılımı sisteme kuruyor ve çalıştırıyor. Söz konusu süreç, kullanıcıların uzaktaki sunuculardan kod indirip çalıştıran kabuk komutlarını manuel olarak yürütmeye ikna edildiği ClickFix olarak bilinen tekniğin bir varyasyonunu temsil ediyor.
AMOS, kurulumun ardından maddi kazanç sağlamak veya daha sonraki saldırılarda kullanılmak üzere çeşitli verileri topluyor. Zararlı yazılım, popüler tarayıcılardan parola ve çerezleri, Electrum, Coinomi ve Exodus gibi kripto para cüzdanlarına ait verileri, ayrıca Telegram Desktop ve OpenVPN Connect gibi uygulamalardan bilgileri hedef alıyor.
Ayrıca "Masaüstü", "Belgeler" ve "İndirilenler" klasörlerinde bulunan TXT, PDF ve DOCX uzantılı dosyaları, "Notes" uygulaması tarafından saklanan dosyalarla tarıyor ve verileri saldırganların kontrolündeki altyapıya sızdırıyor. Paralel olarak, sistem yeniden başlatıldığında otomatik olarak devreye giren bir arka kapı da kuruluyor. Söz konusu arka kapı saldırganlara uzaktan erişim imkanı sağlıyor ve AMOS ile büyük ölçüde örtüşen bir veri toplama mantığıyla çalışıyor.
Kampanya, bilgi hırsızı zararlı yazılımların 2025'in en hızlı büyüyen tehditleri arasında yer aldığına işaret eden daha geniş bir eğilimin parçası olarak öne çıkıyor. Saldırganlar, oltalama senaryolarını daha inandırıcı kılmak için yapay zeka temalarını, sahte YZ araçlarını ve YZ tarafından üretilmiş içerikleri giderek daha fazla kullanıyor.
Komut çalıştı, her şey başladı
Son dönemde sahte YZ tarayıcı kenar çubukları ve popüler modeller için hazırlanmış sahte istemci uygulamaları gibi örnekler görülürken, Atlas temalı faaliyet, meşru bir YZ platformunun yerleşik içerik paylaşım özelliğinin kötüye kullanılmasına kadar uzanıyor.
Kaspersky, zararlı yazılımlara karşı, özellikle bir web sitesi, belge ya da sohbet üzerinden tek satırlık bir betiğin kopyalanıp yapıştırılmasını içeren ve "Terminal" veya "PowerShell" çalıştırılmasını isteyen, talep edilmemiş "rehberlere" karşı temkinli olunması, talimatlar net değilse bu tür sayfaların kapatılması veya mesajların silinmesi, devam etmeden önce bilgili bir kaynaktan görüş alınması, şüpheli komutları çalıştırmadan önce, kodun ne yaptığını anlamak için ayrı bir yapay zeka veya güvenlik aracına yapıştırarak incelemenin değerlendirilmesi ve tüm cihazlarda, Kaspersky Premium gibi güvenlik yazılımı kullanılarak bilgi hırsızlarının ve ilişkili zararlı yüklerin tespit edip engellenmesini tavsiye ediyor.
Amaç net: Veri, cüzdan ve kalıcı erişim
"Sistemin tamamen ele geçirilmesi ve saldırgan için uzun vadeli erişim anlamına geliyor" Açıklamada görüşlerine yer verilen Kaspersky Zararlı Yazılım Analisti Vladimir Gursky, vakayı etkili kılan unsurun, gelişmiş bir teknik açık olmadığını, sosyal mühendisliğin tanıdık bir yapay zeka bağlamı içinde sunulması olduğunu belirtti. Sponsorlu bir bağlantının, güvenilir bir alan adındaki düzenli bir sayfaya yönlendirdiğini ve "kurulum rehberi"nin tek bir Terminal komutundan ibaret olduğunu aktaran Gursky, "Birçok kullanıcı için bu güven ve basitlik birleşimi, alışıldık temkin mekanizmalarını devre dışı bırakmaya yetiyor. Oysa sonuç, sistemin tamamen ele geçirilmesi ve saldırgan için uzun vadeli erişim anlamına geliyor." ifadelerini kullandı.
