Kaspersky Tehdit Araştırma ekibi, Mac kullanıcılarını hedef alan yeni bir zararlı yazılım kampanyası tespit etti. Bu kampanya, kullanıcılara kötü amaçlı yazılım olan AMOS (Atomic macOS Stealer) ve kalıcı bir arka kapının cihazlarına kurulumunu gerçekleştirmeleri için sahte rehberlik yapıyor.

Saldırganlar, “chatgpt atlas” gibi arama sorguları için ücretli Google reklamları satın alıyor. Kullanıcılar bu reklamlar aracılığıyla, chatgpt.com alan adı üzerinde barındırılan “ChatGPT Atlas for macOS” adındaki sahte bir kurulum rehberine yönlendiriliyor. Ancak, bu sayfa gerçekte, istem mühendisliği (prompt engineering) teknikleriyle oluşturulmuş bir ChatGPT sohbetinin içeriğinden ibaret. Kullanıcılara, sadece adım adım kurulum talimatları sunuluyor ve bu talimatlar kapsamında bir satırlık bir kodu kopyalamaları, macOS Terminal'ine yapıştırmaları ve gerekli izinleri vermeleri isteniyor.

Kaspersky araştırmacılarının yaptığı analize göre, bu komut atlas-extension[.]com adlı dış bir alan adından bir betik indirilip çalıştırılmasını sağlıyor. Betik, sistem komutlarını çalıştırmayı denemek için kullanıcılardan tekrar tekrar sistem parolasını talep ediyor. Doğru parola girildiğinde ise betik, AMOS bilgi hırsızını indiriyor ve ele geçirilen kimlik bilgilerini kullanarak zararlı yazılımı sisteme kuruyor ve çalıştırıyor. Bu süreç, kullanıcıların uzaktaki sunuculardan kod indirip çalıştırmalarını sağlamak amacıyla yürütülen “ClickFix” olarak bilinen bir tekniğin varyasyonunu temsil ediyor.

AMOS, kurulumdan sonra maddi kazanç sağlamak ya da ileri düzey saldırılarda kullanılmak üzere çeşitli verileri topluyor. Zararlı yazılım; popüler tarayıcılardan parolalar ve çerezler, Electrum, Coinomi ve Exodus gibi kripto para cüzdanlarına ait verileri, ayrıca Telegram Desktop ve OpenVPN Connect gibi uygulamalardan bilgileri hedef alıyor. Bunun yanı sıra, Masaüstü, Belgeler ve İndirilenler klasörlerinde bulunan TXT, PDF ve DOCX uzantılı dosyaları ile Notes uygulaması tarafından saklanan dosyaları tarıyor ve bu verileri saldırganların kontrolündeki altyapıya sızdırıyor. Ayrıca, sistem yeniden başladığında otomatik olarak devreye giren bir arka kapı da kuruluyor; bu arka kapı, saldırganlara uzaktan erişim sağlıyor ve AMOS ile büyük ölçüde örtüşen bir veri toplama mantığıyla çalışıyor.

Bu kampanya, bilgi hırsızı zararlı yazılımların 2025’in en hızlı büyüyen tehditleri arasında yer aldığını gösteren daha geniş bir eğilimin parçası olarak öne çıkıyor. Saldırganlar, oltalama senaryolarını daha inandırıcı hale getirmek için yapay zeka temalarını, sahte AI araçlarını ve AI tarafından üretilmiş içerikleri giderek daha fazla kullanıyor. Son dönemde sahte yapay zeka tarayıcı kenar çubukları ve popüler modeller için hazırlanmış sahte istemci uygulamaları gibi örnekler görülürken, Atlas temalı bu faaliyet, meşru bir yapay zeka platformunun yerleşik içerik paylaşım özelliğinin kötüye kullanılmasına kadar uzanıyor.

Kaspersky Zararlı Yazılım Analisti Vladimir Gursky, konuyla ilgili şunları söyledi: “Bu vakayı etkili kılan unsur, gelişmiş bir teknik değil; sosyal mühendisliğin tanıdık bir yapay zeka bağlamı içinde sunulmasıdır. Sponsorlu bir bağlantı, güvenilir bir alan adındaki düzenli bir sayfaya yönlendiriyor ve ‘kurulum rehberi’ tek bir Terminal komutundan ibaret. Birçok kullanıcı için bu güven ve basitlik birleşimi, alışıldık temkin mekanizmalarını devre dışı bırakmaya yetiyor. Oysa sonuç, sistemin tamamen ele geçirilmesi ve saldırgan için uzun vadeli erişim anlamına geliyor.”

Kaspersky, kullanıcıları şu konularla ilgili bilgilendiriyor:

• Özellikle bir web sitesi, belge ya da sohbet üzerinden tek satırlık bir betiğin kopyalanıp yapıştırılmasını ve Terminal veya PowerShell çalıştırılmasını isteyen, talep edilmemiş “rehberlere” karşı temkinli olun.
• Talimatlar net değilse bu tür sayfaları kapatın veya mesajları silin; devam etmeden önce bilgili bir kaynaktan görüş alın.
• Şüpheli komutları çalıştırmadan önce, kodun ne yaptığını anlamak için ayrı bir yapay zeka ya da güvenlik aracına yapıştırarak incelemeyi değerlendirin.
• macOS ve Linux sistemler dâhil olmak üzere tüm cihazlarda, Kaspersky Premium gibi saygın bir güvenlik yazılımı kullanarak bilgi hırsızlarını ve ilişkili zararlı yükleri tespit edip engelleyin.