Atomic macOS Stealer adlı kötü amaçlı yazılım, Mac kullanıcıları için daha büyük bir güvenlik riski haline geldi. Yeni güncellemesiyle birlikte, bu yazılım sürekli bir backdoor (arka kapı) kurulum özelliği ekledi.
2023 yılında ortaya çıkan Atomic macOS Stealer, kötü niyetli kişilerin hedefledikleri Mac’lerden veri çalma işinde oldukça popüler oldu. 2024 yılında yeni bir varyantı ortaya çıktı ve 2025 güncellemesi, mağdurlar için büyük bir tehdit teşkil ediyor.
MacPaw’ın siber güvenlik bölümü Moonlock’a göre, AMOS’un yeni bir versiyonu, ilk kez entegre edilmiş bir backdoor ile güncellendi. Değişikliğin orijinal geliştirici tarafından mı yoksa başka birinin kodu değiştirmesiyle mi gerçekleştiği belirsiz; ancak sonuç olarak, risk seviyesi önemli ölçüde artmış durumda.
Daha önce, AMOS hedeflenen Mac’lerden kullanıcı verilerini ve kripto cüzdanlarını çalarak kontrol eden kötü aktörler için kullanılıyordu. Şimdi eklenen backdoor ile birlikte, bu kötü amaçlı yazılımın zarar verme potansiyeli, veri hırsızlığının ötesine geçerek tam sistem kontrolüne kadar uzanıyor.
Backdoor varlığı, macOS’taki kötü amaçlı yazılımlar için oldukça alışılmadık bir durum. Bu, Mac kullanıcılarına karşı global ölçekte dağıtılan malware içerisinde bulunan yalnızca ikinci backdoor örneği olarak kayıtlara geçti; daha önce benzer bir durum Kuzey Kore tarafından denendi.
Atomic macOS Stealer Nasıl Çalışıyor?
Tarihsel olarak, AMOS masum görünümlü başka bir uygulama içinde yer alarak dağıtılmaktadır. Yazılım, sahte veya kopya yazılım sunan siteler ve büyük kripto para birimi varlıklarına sahip kişilere yönelik spear phishing saldırıları yoluyla yayılmaktadır.
Bu phishing saldırıları bazen normal bir iş görüşmesi sırasında gerçekleşebilir. Mağdurdan ekran paylaşımını sağlaması istenir ve bunu yapmak için sistem şifresini girdiğinde, kötü amaçlı yazılım çalışmaya başlar.
Kurulum ve yürütme işlemleri sonrasında AMOS hemen şifreler ve seed cümleleri çeker. Ayrıca, uzak komutlar bekleyen bir persistan backdoor kurar. Analizler, çalıştırılabilir dosyanın ilk aşamalarının hemen hemen değişmediğini, ancak yeni eklemelerin veri toplama aşamasından sonra çalışacağını göstermektedir.
Trojanize edilmiş DMG dosyası, meşru bir yükleyici olarak görünmektedir; Mach-O bash sarmalayıcı ve bir dizi uzantı içerir. Bu kombinasyon, sosyal mühendislik kullanarak Gatekeeper’ı aşmayı sağlamaktadır.
AppleScript hala yürütme izinlerini ayarlamak ve kötü amaçlı yazılım dosyasını çalıştırmak için kullanılmaktadır. Kalıcılık, launchctl altında bir PLIST dosyası aracılığıyla sağlanmaktadır; bu oldukça yaygın bir tekniktir.
Backdoor’un eklenmesi, AMOS’un yeteneklerini artırmaktadır, ancak potansiyeli henüz keşfedilmemiştir. Kuzey Kore’deki tehdit aktörleri tarafından üretilen gelişmiş backdoor’lar ile karşılaştırıldığında, bu AMOS versiyonunun genişletme potansiyelinin çok fazla olduğu belirtiliyor ve zamanla bu durumun gelişmesi bekleniyor.
Atomic macOS Stealer’dan Nasıl Korunulur?
Genel olarak, iyi dijital hijyen ve sağduyu, çoğu Mac kullanıcısının bu kötü amaçlı yazılımdan kaçınmasına yardımcı olabilir. Doğrulanmamış kaynaklardan indirim yapılmaması ve korsan yazılımlardan kaçınmak, kullanıcılar için iyi bir başlangıç olacaktır.
Mac App Store’dan indirme yapmak, Apple’ın kontrolleri sayesinde kötü amaçlı yazılım yükleme riskini ortadan kaldırır. Aksi takdirde, başka yerlerden indirilirken Gatekeeper ve imza kontrollerini aşmaya yönelik yazılımlar konusunda dikkatli olunmalıdır.
Potansiyel phishing saldırıları hakkında da bilgi sahibi olmak önemlidir; çünkü bu saldırılar sahte iş görüşmeleri sırasında gerçekleşebilmektedir.