Teknoloji

Dikkat: Şifrelerinizi ve Kripto Cüzdanlarınızı Çalan Sahte Mac Çökme Raporları

Dikkat: Şifrelerinizi ve Kripto Cüzdanlarınızı Çalan Sahte Mac Çökme Raporları Görsel: 9to5Mac
9to5Mac 2026-07-15
macOS genellikle çok kararlı olsa da, bazen bir uygulama çöker ve Mac'iniz Apple'a tanılama raporu göndermeyi teklif eder. Yeni bir Mac kötü amaçlı yazılım türü, bu formun sahte sürümlerini oluşturarak veri toplama sırasında Mac şifrenizi ister. Uyarsanız, şifre yöneticileriniz ve kripto para cüzdanlarınız dahil çok çeşitli kişisel verilere erişim sağlar.

macOS genellikle çok kararlı olsa da, bazen bir uygulama çöker ve Mac'iniz Apple'a tanılama raporu göndermeyi teklif eder. Yeni bir Mac kötü amaçlı yazılım türü, bu formun sahte sürümlerini oluşturarak veri toplama sırasında Mac şifrenizi ister. Uyarsanız, şifre yöneticileriniz ve kripto para cüzdanlarınız dahil çok çeşitli kişisel verilere erişim sağlar.

Jamf, kötü amaçlı yazılımı ilk olarak Mayıs ayında izlemeye başladığını ve şimdi vahşi ortamda gördüğünü söylüyor. Mayıs başında, VirusTotal'a yüklenen şüpheli bir macOS örneği, örnek işleme hattımız aracılığıyla ortaya çıktı ve Jamf Threat Labs onu izlemeye başladı. Apple'ın çökme raporlama çerçevesini taklit ediyordu ve o noktada hala geliştirme aşamasında olan bir bilgi hırsızına benziyordu. Temmuz başında, dahili kurallarımızdan biriyle eşleşen yükün vahşi ortamda tespitlerini görmeye başladık; bu, projenin geliştirmeden aktif kullanıma geçtiğini gösteriyordu. Bu kötü amaçlı yazılımı CrashStealer adıyla takip ediyoruz.

Siber güvenlik şirketi, kötü amaçlı yazılımı dağıtmak için kullanılan disk görüntüsünün başlangıçta geçerli bir Apple Developer ID'sine ve Gatekeeper kontrollerini geçmesine izin veren noter onayına sahip olduğunu söylüyor. İlk erişim, 'Werkbit Setup' adlı bir disk görüntüsü aracılığıyla sağlanıyor; bu görüntü /Volumes/Werkbit Setup konumuna bağlanıyor ve tek bir uygulama paketi olan Werkbit.app içeriyor. Çalıştırılabilir dosyası veltod olarak adlandırılıyor ve dev.golove.velto paket tanımlayıcısını taşıyor. Sonunda yüklediği yükün aksine, damlatıcı (dropper) düzgün bir şekilde kod imzalı ve noter onaylı: arm64 ve x86_64 ikili dosyası, Developer ID Emil Grigorov (WWB7JA7AQV) ile imzalanmış.

Jamf, kullanıcıların yalnızca güvenilir kaynaklardan yazılım indirmelerini ve beklenmedik şifre istemlerine karşı dikkatli olmalarını öneriyor. macOS'un yerleşik güvenlik özelliklerine rağmen, bu tür kötü amaçlı yazılımlar kullanıcı hatalarından yararlanabiliyor. Kullanıcıların, özellikle şifre yöneticileri ve kripto para cüzdanları gibi hassas verilere erişim sağlayan uygulamalarda, şifrelerini asla tanımadıkları veya güvenmedikleri istemlere girmemeleri önemle tavsiye edilir.