PamStealer: Yeni ve Sinsi macOS Kötü Amaçlı Yazılımı, Pano Yöneticisi Kılığında Kullanıcı Kimlik Bilgilerini Hedef Alıyor

Maccy pano yöneticisi kılığında parola ve kripto anahtarlarını çalan yeni bir macOS kötü amaçlı yazılımı olan PamStealer hakkında bilgi edinin. Nasıl çalıştığını ve nasıl güvende kalacağınızı keşfedin.

A
Staff Writer
Yayınlanma tarihi 03/07/2026 13:35
PamStealer: Yeni ve Sinsi macOS Kötü Amaçlı Yazılımı, Pano Yöneticisi Kılığında Kullanıcı Kimlik Bilgilerini Hedef Alıyor

Gelişmiş macOS Bilgi Hırsızlarının Yükselişi

Yıllarca Mac kullanıcıları, Windows kullanıcılarına kıyasla nispeten daha güvende hissettiler. Ancak siber suçlular daha hedefli ve gelişmiş araçlar geliştirdikçe bu fark hızla kapanıyor. Jamf'deki güvenlik araştırmacıları tarafından tespit edilen en son tehdit, PamStealer olarak adlandırılan bir kötü amaçlı yazılımdır. Bu bilgi hırsızı, güvenlik uyarılarını atlatmak ve hassas oturum açma bilgilerini toplamak için sosyal mühendislik ve yerel macOS sistem araçlarının akıllıca bir kombinasyonunu kullanıyor.

PamStealer Kullanıcıları Nasıl Kandırıyor

PamStealer, açık bir virüs olarak değil, Maccy adlı popüler, meşru bir üretkenlik uygulamasının (hafif bir pano yöneticisi) sahte bir sürümü olarak geliyor. Güvenilir bir yardımcı programı taklit ederek, kötü amaçlı yazılım kullanıcıları sahte bir alan adından indirip kurmaya ikna eder.

İki Aşamalı Enfeksiyon Süreci

Kötü amaçlı yazılım, geleneksel antivirüs yazılımlarının radarına yakalanmamak için tasarlanmış çok aşamalı bir yürütme zinciri kullanır:

  • Birinci Aşama: AppleScript Girişi: Kötü amaçlı yazılım bir disk görüntüsü aracılığıyla gelir. Açıldığında, kullanıcılardan bir AppleScript çalıştırmaları istenir. Bu yöntemi kullanarak, PamStealer, genellikle internetten indirilen yürütülebilir dosyaları işaretleyen ve kısıtlayan yerel macOS güvenlik özelliği olan com.apple.quarantine'i başarıyla atlar.
  • İkinci Aşama: Rust Tabanlı Yük: Komut dosyası etkin hale geldiğinde, ikinci aşama bir yükü almak için bir Otomasyon için JavaScript (JXA) indiricisi kullanır. Bu yük, özellikle Apple M serisi CPU'lar için optimize edilmiş, Rust dilinde yazılmış bir Mach-O dosyasıdır. Rust'ın kullanımı özellikle dikkat çekicidir çünkü sıradan macOS hırsızları için nadirdir ve bu da kötü amaçlı yazılımın bazı güvenlik araçları tarafından tanınmasını zorlaştırır.

PAM Aracılığıyla Kimlik Bilgilerini Çalma

PamStealer'ı temel kötü amaçlı yazılımlardan ayıran şey, Takılabilir Kimlik Doğrulama Modülleri (PAM) arayüzünü kullanmasıdır. Genellikle güvenlik uyarılarını tetikleyen curl veya zsh gibi bariz kabuk komutları kullanmak yerine, PamStealer yerel görünümlü bir macOS parola istemi sunar.

İstem genellikle şu şekildedir: “Maccy değişiklik yapmak istiyor. Buna izin vermek için parolanızı girin.” Şüphelenmeyen kullanıcı yönetici parolasını girdiğinde, kötü amaçlı yazılım kimlik bilgilerini PAM API'si aracılığıyla yerel olarak doğrular. Bu, saldırganın ya tam disk erişimi elde etmesine ya da Ethereum kripto para hesapları gibi belirli varlıkları hedeflemek için kötü amaçlı kod enjekte etmesine olanak tanır.

Mac'inizi PamStealer'dan Nasıl Korursunuz

macOS'un XProtect gibi yerleşik savunmaları olsa da, insan unsuru birincil güvenlik açığı olmaya devam etmektedir. Cihazınızı güvende tutmak için en iyi uygulamalar şunlardır:

1. Yazılım Kaynaklarını Doğrulayın

Yazılımları her zaman resmi web sitelerinden indirdiğinizden emin olun. Maccy örneğinde, tek meşru site maccy.app'tir. Kötü amaçlı yazılımı barındırmak için kullanılan maccyapp.com gibi benzer görünümlü URL'lere karşı dikkatli olun.

2. App Store'a Öncelik Verin

Mümkün olduğunca, uygulamaları doğrudan Apple App Store'dan indirin. Apple, uygulamaları listelemeden önce incelediği için, web'den rastgele .dmg dosyaları indirmeye kıyasla bilgi hırsızlığı yazılımı yükleme riski önemli ölçüde azalır.

3. Beklenmeyen Parola İstemi Durumlarına Şüpheyle Yaklaşın

Yeni yüklediğiniz bir uygulama, açık bir neden olmaksızın aniden "değişiklik yapmak" için yönetici parolanızı isterse, durun ve araştırın. Yüksek kaliteli yazılımlar genellikle yükseltilmiş izinlerin neden gerekli olduğunu tam olarak açıklar.

4. Katmanlı Güvenlik Kullanın

XProtect harika bir temel olsa da, saygın bir üçüncü taraf antivirüs çözümü, PamStealer gibi "sıfır gün" tehditlerini çalıştırılmadan önce yakalamak için ek bir sezgisel analiz katmanı sağlayabilir.

İlgili Yazılar