Güvenilir Mac Uygulamalarında Gizlenen Kötü Amaçlı Yazılım, Şifreleri ve Kripto Cüzdanlarını Çalıyor
Mac Kullanıcılarına Dikkat: Kötü Amaçlı Uzantılar Gizlice Verileri Çalıyor
Mac kullanıcıları genellikle güvenlik konusunda daha güvende olduklarını düşünürler, özellikle de resmi uygulama mağazalarına ve güvenilir araçlara bağlı kalarak. Ancak, güvenlik araştırmacıları, meşru uzantı pazarlarında bulunan ve kullanıcıların verilerini çalan kötü amaçlı Mac uzantılarının yeni bir dalını tespit etti. Bu uzantılar, kripto para cüzdanı verilerini, şifreleri ve hatta Anahtar Zinciri kimlik bilgilerini çalabiliyor.
GlassWorm: Sessiz Bir Tehdit
Koi Security adlı güvenlik araştırmacıları, Visual Studio Code gibi kod düzenleyicileri için tasarlanmış uzantılarda GlassWorm adlı kötü amaçlı yazılımı tespit etti. Bu uzantılar, Microsoft Visual Studio Marketplace ve OpenVSX gibi geliştiriciler ve ileri düzey kullanıcılar tarafından yaygın olarak kullanılan platformlarda yer aldı. İlk bakışta masum görünen bu uzantılar, kod biçimlendirme, temalar veya üretkenlik araçları gibi popüler özellikler sundu. Ancak, kurulduktan sonra arka planda kötü amaçlı kod çalıştırdılar.
Daha önceki GlassWorm sürümleri, gizli metin hileleri kullanarak görünmez kalmaya çalışırken, en son sürüm kötü amaçlı kodunu şifreleyerek ve yürütmeyi geciktirerek otomatik güvenlik kontrollerinden kaçmayı başardı.
Hedef: Geliştiriciler ve Kullanıcılar
Bu kampanya özellikle geliştiricileri hedef alsa da, kod yazmayan kullanıcılar da risk altında. Mac kullanıcısıysanız, uzantı kuruyorsanız veya şifrelerinizi veya kripto paralarınızı sisteminizde saklıyorsanız, bu tehdit sizleri de ilgilendiriyor.
GlassWorm Ne Yapıyor?
Aktif hale geldikten sonra GlassWorm, cihazınızdaki en hassas verilere erişmeye çalışıyor. GitHub ve npm gibi platformlara bağlı giriş kimlik bilgilerini çalmaya çalışıyor. Ayrıca, tarayıcı tabanlı kripto para cüzdanlarını ve kaydedilmiş şifrelerin bulunduğu macOS Anahtar Zinciri’ni hedef alıyor. Araştırmacılar, Ledger Live veya Trezor Suite gibi donanım cüzdanı uygulamalarının kurulu olup olmadığını kontrol ettiğini ve kuruluysa, kripto paraları çalmak için tasarlanmış tehlikeye maruz bırakılmış bir sürümü değiştirmeye çalıştığını tespit etti. Bu saldırı henüz tamamen çalışır durumda değil, ancak işlevselliği zaten mevcut.
Sisteme erişimi korumak için, kötü amaçlı yazılım yeniden başlatma sonrası otomatik olarak çalışacak şekilde yapılandırılıyor. Ayrıca, cihazınıza uzaktan erişime izin verebilir ve siz farkına varmadan internet trafiğini yönlendirerek cihazınızı başkasının sessiz bir rölesi haline getirebilir.
Güvenliği Artırmak İçin Alınabilecek Önlemler
- Sadece ihtiyaç duyduğunuz uzantıları kurun: Her uzantı, riski artırır. Kullanmadığınız uzantıları kaldırın. Büyük üretkenlik artışı vadeden, premium özellikleri ücretsiz sunan veya popüler araçları biraz değiştirilmiş adlarla taklit eden uzantılardan özellikle dikkatli olun.
- Kurmadan önce yayıncıyı doğrulayın: Uzantıyı kimin yaptığına bakın. Yerleşik geliştiricilerin genellikle net bir web sitesi, dokümantasyon ve güncelleme geçmişi vardır. Yeni yayıncılar, belirsiz açıklamalar veya klonlanmış adlar dikkat çekmelidir.
- Şifre yöneticisi kullanın: Şifre yöneticisi, girişlerinizi şifreli ve tarayıcınızın veya düzenleyicinizin dışında güvenli bir şekilde saklar. Ayrıca, her hesabın benzersiz bir şifreye sahip olmasını sağlar, böylece bir kimlik bilgisi seti çalınırsa saldırganların erişebileceği veri miktarını sınırlar.
“Mac kullanıcıları genellikle daha güvende olduklarını düşünürler, ancak bu yanlış bir algı olabilir,” diyor CyberGuy Report’tan Kurt Knutsson.
Kötü amaçlı uzantılar tehlikeli görünmeyebilir. Bu nedenle, güvenilir pazarlara sızan tehditlere karşı bile riski azaltmanıza yardımcı olacak adımlar atmak önemlidir.
Haberin Diğer Kareleri
