Bilgi
Hayatteknoloji.net - Türkiye'nin teknoloji portalı

  • DOLAR
    %0,03
  • EURO
    %0,22
  • ALTIN
    %-0,64
  • BIST
    %0,98
Mac’lerde Parola ve Veri Hırsızlığı: CrashStealer Nedir?

Mac’lerde Parola ve Veri Hırsızlığı: CrashStealer Nedir?

Mac kullanıcılarını amaç alan CrashStealer ziyanlı yazılımı, çökme raporlama aracını taklit ederek ferdî bilgileri ve parolaları çalıyor.

Mac kullanıcılarını tehdit eden CrashStealer isimli yeni bir bilgi hırsızı ortaya çıktı. Apple’ın çökme raporlama aracını taklit eden bu ziyanlı yazılım; Mac giriş parolasını, Keychain bilgilerini, tarayıcı bilgilerini, parola yöneticilerini, şahsî evrakları ve kripto para cüzdanlarını ele geçiriyor.

Saldırıda kullanılan birinci uygulamanın geçerli bir geliştirici sertifikası taşıması ve Apple tarafından noterlenmiş olması dikkat çekiyor. Bu sebeple uygulama, macOS’in Gatekeeper güvenlik sistemi tarafından başlangıçta engellenmeden çalışabiliyor.

CrashStealer, Apple’ın CrashReporter uygulamasını taklit ediyor

CrashStealer birinci olarak Mayıs 2026’da VirusTotal’a yüklenen kuşkulu bir macOS evrakında tespit edildi. Birinci örneklerde bulunan eksiklikler, ziyanlı yazılımın şimdi geliştirme evresinde olduğunu gösterdi.

Temmuz ayının başında gerçek sistemlerde görülen yeni sürümlerle birlikte hücumun faal olarak kullanılmaya başladığı belirlendi. Ziyanlı yazılım direkt C++ ile geliştirildi ve kodlarında “MacOSData” adlı özel bir sınıfa yer verildi.

Saldırı, “Werkbit Setup” ismiyle dağıtılan bir disk kalıbıyla başlıyor. Belgenin içinde Werkbit.app isimli uygulama ve “veltod” isimli çalıştırılabilir bir bileşen bulunuyor.

Uygulama hem Apple Silicon hem de Intel işlemcili Mac modellerinde çalışabiliyor. Werkbit, “Emil Grigorov” ismine kayıtlı geçerli bir Apple Developer ID sertifikasıyla imzalandı ve Apple’ın noterleme sürecinden geçti.

Disk kalıbının kendisi de ayrıyeten imzalandı. Böylelikle kullanıcı uygulamayı açtığında macOS’in imzasız yahut doğrulanmamış yazılımlar için gösterdiği standart güvenlik ihtarlarıyla karşılaşmadı.

Werkbit, toplantı ve iş birliği platformu üzere hazırlanan özel bir internet sitesi üzerinden dağıtıldı. Haziran 2026’nın sonunda kaydedilen sitede uygulamayı indirebilmek için toplantı PIN’i girilmesi gerekiyordu.

Bu teknikle ziyanlı evrak siteyi ziyaret eden herkese açık halde sunulmadı. Sırf saldırganların verdiği hakikat PIN koduna sahip kullanıcılar indirme kontağına ulaşabildi.

İnternet sitesinde çeşitli tanınmış şirketlerin logoları kullanıldı. Lakin Werkbit uygulamasında gerçek bir toplantı, manzaralı görüşme veya iş birliği özelliği bulunmuyordu.

Disk kalıbı açıldıktan sonra kullanıcıyı özel olarak hazırlanmış bir heyetim ekranı karşılıyor. Ekranda uygulamaya sağ tıklanması ve “Aç” seçeneğinin kullanılması isteniyor.

Werkbit esasen Apple tarafından noterlenmiş olduğu için Gatekeeper’ı aşmak ismine bu türlü bir sürece muhtaçlık duymuyor. Talimatlar, kullanıcıyı uygulamayı çalıştırmaya yönlendiren düzmece bir heyetim sürecinin modülü olarak kullanılıyor.

Zararlı yazılımın çalışma prensibi ve amaç aldığı veriler

Uygulama açıldıktan sonra GitHub üzerindeki “mgothiclove/pkeys” deposuna bağlanıyor ve “sys.cache” isimli belgeyi indiriyor. Evrakın içinden çıkarılan curl komutu, saldırganların sunucusunda bulunan ikinci basamak betiğini sisteme getiriyor.

Betiğin komutları üç farklı Base64 katmanıyla gizleniyor. Komutlar çalışma sırasında çözülerek direkt Bash kabuğuna aktarılıyor ve düz metin hâlinde diske kaydedilmiyor.

İkinci evrede CrashReporter.dmg isimli asıl ziyanlı belge Mac’in süreksiz klasörüne indiriliyor. Disk kalıbı kullanıcıya gösterilmeden sisteme bağlanıyor ve içindeki CrashReporter.app, “.CrashReporter” isimli saklı klasöre kopyalanıyor.

Dosyanın karantina işaretleri temizleniyor ve mevcut imzası kaldırılıyor. Uygulama daha sonra mahallî olarak tekrar imzalanarak macOS Launch Services sistemine kaydediliyor.

CrashReporter.app ismi, uygulama simgesi ve “com.apple.crashreporter” paket kimliği, Apple’ın gerçek çökme raporlama bileşenini taklit ediyor. Ziyanlı yazılım ayrıyeten “com.apple.crashreporter.helper” isminde bir LaunchAgent oluşturuyor.

Kullanıcı çalışan süreçleri yahut arka plan servislerini denetim ettiğinde Apple’a aitmiş üzere görünen isimlerle karşılaşıyor. Uygulama Dock üzerinde görünmeden arka planda çalışmayı sürdürüyor.

CrashStealer açıldıktan sonra macOS’in gerçek yetkilendirme ekranına benzeyen bir parola penceresi gösteriyor. Pencerede geniş sistem erişiminin bakım ve çökme raporlama süreçleri için gerekli olduğu yazıyor.

Kullanıcının girdiği parola, macOS’in yerleşik “dscl” komutu üzerinden lokal olarak denetim ediliyor. Yanlış parola girildiğinde kusur iletisi gösteriliyor ve parola tekrar isteniyor.

Bu süreç yanlışsız parola girilene kadar devam ediyor. Ziyanlı yazılım böylelikle rastgele bir metin yerine kullanıcının gerçek Mac giriş parolasını elde ediyor.

Ele geçirilen parola, kullanıcının giriş Keychain veritabanını açmak için kullanılıyor. Keychain içerisinde Safari giriş bilgileri, Wi-Fi parolaları, uygulama hesapları, sertifikalar, erişim belirteçleri ve özel kriptografik anahtarlar bulunabiliyor.

Açılan Keychain veritabanı zımnî bir çalışma klasörüne kopyalanıyor. Kullanıcının Mac parolası da başka bir belgeye kaydediliyor.

CrashStealer, Chromium tabanlı internet tarayıcılarının profil klasörlerini de tarıyor. Google Chrome, Brave, Microsoft Edge, Opera, Opera GX, Vivaldi, Chromium ve Naver Whale atağın kapsadığı tarayıcılar arasında bulunuyor.

Firefox içerisindeki giriş bilgileri ve eklenti dataları de toplanıyor. SQLite yedekleme fonksiyonları kullanılarak açık durumdaki tarayıcıların kilitli data tabanlarına erişilebiliyor.

Zararlı yazılımın gaye listesinde yaklaşık 80 kripto para cüzdanı uzantısı yer alıyor. MetaMask, Phantom, Coinbase Wallet, Trust Wallet, Rabby, OKX Wallet, Exodus, Keplr, Solflare ve Backpack bunlar arasında bulunuyor.

Solana, Cosmos, TON, Sui, Aptos ve NEO ekosistemlerinde kullanılan farklı cüzdan uzantıları da taranıyor. Tarayıcı profillerindeki cüzdan dataları, başka hesap bilgilerinden başka olarak paketleniyor.

CrashStealer ayrıyeten 1Password, Bitwarden, LastPass, Dashlane, Keeper, KeePassXC, NordPass, Enpass ve RoboForm dahil 14 parola yöneticisine ilişkin dataları arıyor.

Zararlı yazılım direkt parola yöneticisi uygulamalarını açmaya çalışmıyor. Tarayıcı uzantılarını, mahallî bilgi klasörlerini ve ilgili kullanıcı profillerini inceliyor.

Belgeler ve İndirilenler klasörlerindeki şahsî belgeler da akının kapsamına giriyor. Fakat sistemde bulunan bütün belgeler rastgele kopyalanmıyor.

Önbellekler, günlük evrakları, çöp kutusu, uygulama durum belgeleri, Git depoları ve geliştirme klasörleri atlanıyor. DMG, ISO ve PKG belgeleriyle birlikte uygulamalar, yürütülebilir evraklar, sistem kütüphaneleri, büyük arşivler ve görüntüler da dışarıda bırakılıyor.

Toplanan bilgiler diskte açık biçimde tutulmuyor. Her belge Apple’ın CommonCrypto altyapısı kullanılarak AES-256-GCM yoluyla şifreleniyor.

Şifreleme anahtarı PBKDF2-HMAC-SHA256 üzerinden 10 bin çeşitle oluşturuluyor. Tarayıcı bilgileri, Keychain kayıtları, cüzdan bilgileri, parola yöneticileri ve sistem bilgileri farklı kapalı ZIP arşivlerinde paketleniyor.

Hazırlanan arşivler libcurl üzerinden saldırganların komuta ve denetim sunucusuna gönderiliyor. Birinci örneklerde sunucu adresi uygulamanın Info.plist belgesinde açık biçimde yer alıyordu.

Daha yeni sürümlerde sunucu adresi kaldırıldı ve hassas dizeler şifreli kod bloklarının içine taşındı. Ziyanlı yazılımın kod yapısı ve data toplama metotları yeni sürümlerde sistemli olarak değiştirildi.

CrashStealer, Mac yine başlatıldıktan sonra da çalışmaya devam edebiliyor. Bunun için kendisini kullanıcının Library/Caches klasörüne kopyalıyor ve oluşturduğu LaunchAgent üzerinden her oturum açılışında başlatılıyor.

İşlem yanılgı vererek kapanırsa macOS’in launchd servisi tarafından tekrar çalıştırılıyor. Uygulamanın çıktıları “/dev/null” pozisyonuna yönlendiriliyor ve kullanıcıya rastgele bir pencere gösterilmiyor.

Zararlı yazılım bilakis mühendislik çalışmalarına karşı da çeşitli tedbirler taşıyor. Kod akışı karmaşıklaştırılıyor, belge yolları ve sunucu adresleri şifreli dizelerde saklanıyor.

Sistemde bir kusur ayıklayıcı çalışıp çalışmadığı birden fazla basamakta denetim ediliyor. Yanılgı ayıklayıcı tespit edilirse ziyanlı süreçler başlamadan uygulama kapatılıyor.

Mac üzerinde yüklü güvenlik yazılımları, uç nokta müdafaa araçları ve ziyanlı yazılım tahlil programları da inceleniyor. Bu uygulamaların sürümleriyle birlikte diskte kapladıkları alan denetim ediliyor.

Werkbit ile temaslı geliştirici hesabı Apple’a bildirildi ve uygulamada kullanılan imzalama bilgileri iptal edildi. Taarruz altyapısıyla temaslı birden fazla alan ismi ve idare paneli de tespit edildi.

Bazı alan isimlerinde Windows sistemlerine yönelik belge yolları ve bileşenler bulundu. Saldırganların benzeri prosedürü farklı işletim sistemleri için de hazırladığı bedellendiriliyor.

Mac kullanıcılarının Werkbit, Werkbit Setup yahut CrashReporter ismiyle sunulan kuşkulu suram evraklarını çalıştırmaması gerekiyor. Beklenmedik bir uygulama Mac giriş parolasını isterse pencere kapatılmalı ve süreç sonlandırılmalı.

Werkbit’i çalıştıran ve parola ekranına bilgi giren kullanıcıların hesap parolalarını pak bir aygıt üzerinden değiştirmesi gerekiyor. Açık oturumlar kapatılmalı ve desteklenen bütün hesaplarda iki etaplı doğrulama aktifleştirilmeli.

Kripto cüzdanı özel anahtarları yahut kurtarma tabirleri Mac üzerinde saklandıysa mevcut cüzdan inançlı kabul edilmemeli. Varlıkların yeni anahtarlarla oluşturulan pak bir cüzdana aktarılması gerekiyor.

Bu yeni ziyanlı yazılım tipi hakkında siz neler düşünüyorsunuz?


Kaynak:
Shiftdelete 


Sosyal Medyada Paylaşın:

BİRDE BUNLARA BAKIN

Düşüncelerinizi bizimle paylaşırmısınız ?

Sponsorlu Bağlantılar
  • ÇOK OKUNAN
  • YENİ
  • YORUM