Google Aramaları Üzerinden Mac'lere Yeni Kötü Amaçlı Yazılım Tehdidi

Google arama sonuçları, özellikle de sponsorlu içerikler aracılığıyla Mac kullanıcılarını hedef alan yeni bir kötü amaçlı yazılım kampanyası tespit edildi. Daha önce ChatGPT üzerinden benzer saldırılar yaşanmışken, şimdi AMOS (SOMA) adı verilen bilgi hırsızı yazılımlar, sahte Apple siteleri ve Medium platformundaki makaleler üzerinden yayılıyor. Bu siteler, docs.google.com ve business.google.com gibi güvenilir görünen alan adlarından bağlantılarla desteklenebiliyor. Kullanıcılar, Mac önbelleğini temizleme gibi basit aramalar yaparak bu tuzağa düşebiliyor ve zararlı bir Terminal komutunu çalıştırmaya ikna ediliyor.

Bu saldırılar, geçen yılki ChatGPT aldatmacasına oldukça benziyor; hatta base-64 gizleme yöntemleri bile benzerlik gösteriyor. AMOS stealer, çalıştırıldığında kullanıcının Belgeler klasörünün içeriğini "FileGrabber" adlı bir konuma kopyalamaya başlıyor. Ayrıca, ana klasöre .agent (hırsızlığı çalıştıran bir AppleScript), .mainHelper (ana Mach-O ikili dosyası) ve .pass (parolayı düz metin olarak içeren) gibi gizli dosyalar yazıyor. Yazılım, Belgeler klasörüne ek olarak Notlar uygulamasına da erişim talep ediyor. Sanal bir makinede çalıştırıldığında bile tespit edilmekten pek rahatsız olmaması dikkat çekici.

Bu durum, arama motorlarından gelen bilgilere şüpheyle yaklaşmanın önemini bir kez daha gösteriyor. Kullanıcıların, özellikle sponsorlu bağlantılara tıklamadan önce kaynağın güvenilirliğini sorgulaması ve bir bağlantının nereye götürdüğünü dikkatlice kontrol etmesi gerekiyor. Terminal'de herhangi bir komut çalıştırmadan önce, komutun ne işe yaradığını tam olarak anladığınızdan ve güvenilir bir kaynaktan geldiğinden emin olunmalıdır. Gizlenmiş veya anlaşılması zor komutlar her zaman alarm zillerini çalmalıdır, zira bunlar genellikle kötü amaçlı yazılımların yüklerini indirmek için kullanılan curl gibi komutları içerebilir.