Mac Kullanıcılarını Hedef Alan Yeni ChatGPT Tuzağı Ortaya Çıkarıldı
Siber güvenlik şirketi Kaspersky, Mac kullanıcılarını hedef alan ve ChatGPT teması üzerinden yürütülen yeni bir zararlı yazılım kampanyasını ortaya çıkardı. Kaspersky Tehdit Araştırma ekibinin tespitlerine göre saldırganlar, ücretli Google arama reklamları ve ChatGPT’nin resmi sitesinde paylaşılan açık sohbetleri kullanarak kullanıcıları kandırıyor.
Bu yöntemle kullanıcılar, Atomic macOS Stealer (AMOS) adlı gelişmiş bir bilgi hırsızı yazılımı ile birlikte kalıcı bir arka kapıyı sistemlerine kendi istekleriyle kurmaya yönlendiriliyor.
Sahte “ChatGPT Atlas” Rehberiyle Tuzak
Saldırganlar, “chatgpt atlas” gibi arama sorguları için sponsorlu reklamlar satın alarak kullanıcıları, chatgpt alan adı altında barındırılan “ChatGPT Atlas for macOS” isimli sahte bir kurulum rehberine yönlendiriyor.
Ancak bu sayfa gerçek bir yazılım sitesi değil. Kaspersky’ye göre içerik, istem mühendisliği (prompt engineering) kullanılarak oluşturulmuş, herkese açık sıradan bir ChatGPT sohbetinden ibaret. Sohbet içeriği düzenlenerek yalnızca adım adım “kurulum” talimatları bırakılıyor.
Rehber, kullanıcılardan:
- Tek satırlık bir kodu kopyalamalarını
- macOS Terminal’i açıp bu komutu yapıştırmalarını
- İstenen tüm sistem izinlerini vermelerini
talep ediyor.
Zararlı Yazılım Nasıl Çalışıyor?
Analizlere göre Terminal’de çalıştırılan komut, atlas-extension[.]com adresinden harici bir betik indirip yürütüyor. Bu betik, sistem komutlarını çalıştırabilmek için kullanıcıdan ısrarla macOS sistem parolasını talep ediyor.
Parola girildiğinde süreç şu şekilde ilerliyor:
- AMOS bilgi hırsızı indiriliyor
- Ele geçirilen kimlik bilgileri kullanılarak sisteme yerleştiriliyor
- Kullanıcının fark etmediği kalıcı bileşenler oluşturuluyor
Bu yöntem, kullanıcıların uzaktan kod indiren komutları manuel olarak çalıştırmaya ikna edildiği ClickFix tekniğinin gelişmiş bir varyantı olarak değerlendiriliyor.
Hangi Veriler Hedef Alınıyor?
Kurulum tamamlandıktan sonra AMOS, finansal kazanç amacıyla çok sayıda hassas veriyi toplamaya başlıyor. Hedef alınan başlıca veriler ve uygulamalar şunlar:
- Tarayıcılar: Kayıtlı parolalar ve çerezler
- Kripto Cüzdanlar: Electrum Coinomi Exodus
- Mesajlaşma ve Ağ: Telegram Desktop OpenVPN Connect
- Dosyalar: TXT PDF DOCX uzantılı belgeler
- Sistem Verileri: macOS Notes (Notlar) uygulaması
Ayrıca sistem yeniden başlatıldığında otomatik devreye giren kalıcı bir arka kapı da kuruluyor. Bu yapı, saldırganlara uzaktan erişim imkânı tanırken benzer veri toplama işlevleri yürütüyor.
Yapay Zekâ Temalı Saldırılar Artıyor
Kaspersky, bilgi hırsızı yazılımların 2025’in en hızlı büyüyen siber tehditleri arasında yer aldığına dikkat çekiyor. Uzmanlara göre saldırganlar, oltalama senaryolarını daha inandırıcı kılmak için yapay zekâ ve ChatGPT temalı içerikleri giderek daha sık kullanıyor.
Kaspersky’den Kritik Uyarılar
Kaspersky, özellikle bir web sitesi ya da sohbet üzerinden tek satırlık bir Terminal komutunun kopyalanmasını isteyen rehberlere karşı kullanıcıları uyarıyor. Şirketin önerileri arasında şunlar yer alıyor:
- Belirsiz ve doğrulanmamış rehberlerin kapatılması
- Terminal komutlarının çalıştırılmadan önce ne yaptığının incelenmesi
- Güncel ve güvenilir güvenlik yazılımlarının kullanılması
Kaspersky Zararlı Yazılım Analisti Vladimir Gursky, tehdidin etkisini şu sözlerle özetliyor:
“Sponsorlu bir bağlantının güvenilir görünen bir alan adına yönlendirmesi ve ‘kurulumun’ tek bir komuttan ibaret olması, birçok kullanıcının temkin mekanizmasını devre dışı bırakıyor. Oysa bu basitlik, sistemin tamamen ele geçirilmesi ve saldırgan için uzun vadeli erişim anlamına geliyor.”
