Yeni MacSync Malware’i macOS Gatekeeper’ı Atlatarak Kripto Çalıyor

Yeni bir MacSync malware varyantı, aktif olarak macOS kullanıcılarını hedef alıyor. Güvenlik araştırmacıları, Apple’ın yerleşik korumalarını atlayabildiği konusunda uyarıyor. Malware, kripto para cüzdanları dahil olmak üzere hassas verileri çalabiliyor. Uyarı, bazı kullanıcıların varlık kayıpları yaşadığını bildiren SlowMist’in bilgi güvenliği sorumlusu tarafından geldi. Bu malware, macOS tehditlerinin karmaşıklığında bir değişimi işaret ediyor. Eski versiyonların aksine, bu varyant işletim sistemi nezdinde meşru görünürken tespit edilmekten kaçınıyor.

Malware’in macOS Güvenliğini Atlama Yöntemleri

Yeni MacSync varyantı, macOS Gatekeeper’ı atlayabiliyor. Gatekeeper, güvenilmeyen uygulamaları engellemek için tasarlanmış bir sistemdir. Araştırmacılara göre malware, tespit edilmekten kaçınmak için çok katmanlı teknikler kullanıyor. Bunlar arasında kötü amaçlı kodu gizlemek için dosya şişirme, çalıştırma ortamını doğrulamak için ağ kontrolleri ve çalıştıktan sonra izleri silen kendi kendini yok eden scriptler bulunuyor.

Sonuç olarak malware, disk üzerinde genellikle çok az iz bırakıyor. Çalıştırıldıktan sonra yüksek hassasiyetli verileri hedef alıyor. Bunlar arasında iCloud anahtar zincirleri, tarayıcıda saklanan şifreler ve kripto para cüzdan dosyaları yer alıyor. Çoğu durumda, kullanıcılar farkına varmadan saldırganlar tam erişim sağlıyor.

Kod İmzalı Malware’e Geçiş Riskleri Artırıyor

Jamf Threat Labs tarafından yapılan ek analizler, malware’in teslim yönteminde evrimleştiğini gösteriyor. Önceki MacSync versiyonları sosyal mühendislik yöntemlerine dayanıyordu; örneğin terminal komutlarıyla sürükle-bırak veya manuel script çalıştırma. Yeni varyant ise kod imzalı ve notarize edilmiş bir Swift uygulaması olarak geliyor. Disk imajı dosyaları içinde dağıtılıyor ve meşru yükleyiciler gibi görünüyor. Bu sayede macOS’un ilk kontrollerinden uyarı tetiklenmeden geçebiliyor.

Uygulama çalıştırıldıktan sonra, ikinci aşama yükü sessizce indirip çalıştırıyor. Bu aktivitelerin çoğu hafızada gerçekleşiyor ve geleneksel antivirüs araçları tarafından tespit edilme olasılığını azaltıyor. Araştırmacılar, bunun daha geniş bir eğilimi yansıttığını söylüyor. Artık birçok macOS malware’i, güvenilir görünmek ve keşfi geciktirmek için imzalı ve notarize edilmiş yürütülebilir dosyalar kullanıyor.

Kripto Cüzdanlar Hedefte

Malware’in kripto cüzdanlara odaklanması, dijital varlık sahipleri için artan riskleri ortaya koyuyor. Saldırganlar özel anahtar veya kurtarma verilerini ele geçirdiğinde, çalınan fonlar genellikle geri alınamıyor. Raporlar, bazı kullanıcıların enfeksiyondan kısa süre sonra kripto kaybettiğini gösteriyor. Zorla işlem yapılması veya borsa hack’leri gibi işaretler yoktu. Saldırganlar, doğrudan ele geçirilmiş cihazlardan cüzdanlara erişti. Güvenlik uzmanları, kripto kullanıcılarının özellikle savunmasız olduğunu vurguluyor. Pek çok kişi cüzdanları, tarayıcı uzantılarını ve kimlik bilgilerini ek koruma olmadan kişisel dizüstü bilgisayarlarında saklıyor.

Kullanıcıların Şimdi Yapması Gerekenler

SlowMist, macOS kullanıcılarını bilinmeyen kaynaklardan yazılım veya eklenti indirmekten kaçınmaları konusunda uyardı. Meşru görünen yükleyiciler bile gizli riskler taşıyabilir. Uzmanlar ayrıca gelişmiş tehdit koruma araçlarını etkinleştirmeyi, sistemleri güncel tutmayı ve mümkün olduğunda kripto varlıkları donanım cüzdanlarda saklamayı öneriyor. Kullanıcılar, beklenmedik bir yükleyici veya güvenlik uyarısını daima dikkatle değerlendirmeli. Saldırganlar tekniklerini geliştirdikçe, macOS artık düşük riskli bir ortam değil. Örneğin MacSync vakası, yerleşik korumaların bile atlanabileceğini gösteriyor. Bu nedenle kripto sahipleri için dikkat ve temkinlilik hâlâ kritik önem taşıyor.