Lazarus Group, 500 Milyon Dolar Çaldıktan Sonra Yeni Mac Zararlı Yazılımını Yayıyor

Kuzey Kore devlet destekli bilgisayar korsanları grubu Lazarus Group, kripto ve fintech sektörlerindeki yöneticileri hedef alan “Mach-O Man” adlı macOS için yeni bir çok aşamalı zararlı yazılım yayıyor. 2026 Nisan ortasında tespit edilen bu kampanya, yalnızca son bir ay içinde 500 milyon doların üzerinde kripto para hırsızlığından sorumlu olan grupla ilişkilendirildi.

CertiK'te kıdemli blok zinciri güvenliği araştırmacısı olan Natalie Newson, CoinDesk'e verdiği demeçte, “Lazarus'u şu anda özellikle tehlikeli kılan şey faaliyet düzeyleridir” dedi. “Bu rastgele bir bilgisayar korsanlığı değil; kurumlar için tipik bir ölçekte ve hızda yürütülen devlet yönetimli bir finansal operasyon.”

Saldırı, “ClickFix” olarak adlandırılan bir sosyal mühendislik tekniği kullanarak kurbanları Telegram üzerinden sahte Zoom veya Google Meet görüşmelerine çekiyor. Ardından, hileli bir hata mesajı kullanıcıdan Mac'inin terminaline bir komut yapıştırmasını istiyor; bu komut, yerel güvenlik kontrollerini atlayarak zararlı yazılımı yüklüyor. Nihai yük (payload) olan Macrasv2, tarayıcı verilerini, çerezleri ve hassas macOS Anahtar Zinciri (Keychain) girişlerini bir Telegram botu aracılığıyla dışarı sızdırıyor.

Kampanya, son zamanlarda yaşanan 292 milyon dolarlık KelpDAO ve 285 milyon dolarlık Drift istismarlarında görüldüğü gibi, tehlikeye atılan geliştirici veya yönetici kimlik bilgilerinin felaketle sonuçlanan kayıplara yol açabileceği kripto projeleri için operasyonel güvenlik riskini önemli ölçüde artırıyor. Zararlı yazılımın modüler yapısı ve diğer siber suç grupları tarafından kullanılması, tehdidinin muhtemelen genişleyeceğini ve şirketleri kendi çalışanlarının güvene dayalı eylemlerinden kaynaklanan saldırılara karşı savunma yapmaya zorlayacağını gösteriyor.

'Mach-O Man' Saldırısı macOS Güvenliğini Nasıl Atlatıyor?

Mach-O Man kampanyasının temel yeniliği, Apple'ın yerleşik güvenlik özelliklerini atlatmak için sosyal mühendisliğe güvenmesidir. Saldırı, bir hedefin Telegram gibi bir platformda, güvenilir bir meslektaşından geliyormuş gibi görünen Zoom, Microsoft Teams veya Google Meet görüşmesi için acil bir toplantı daveti almasıyla başlar.

Bağlantı, bir bağlantı sorununu simüle eden inandırıcı ancak sahte bir web sayfasına yönlendirir. Sorunu “çözmek” için site, kullanıcıya Mac'in Terminal uygulamasına bir satır kod kopyalayıp yapıştırması talimatını verir. Komutu kullanıcının kendisi başlattığı için, normalde doğrulanmamış uygulamaları engelleyen Gatekeeper gibi macOS güvenlik özellikleri atlanır.

Yürütüldüğünde, komut teamsSDK.bin adlı başlangıç ikili dosyasını indirir. Zararlı yazılım daha sonra sahte bir uygulama paketi indirir ve kötü çevrilmiş ancak orijinal görünen sistem istemleriyle kurbandan defalarca şifresini ister, böylece ihtiyaç duyduğu izinleri kazanmasını sağlar.

Kendi Kendini Yok Eden Hırsız Az İz Bırakıyor

Zararlı yazılım dört farklı aşamada çalışır. İlk enfeksiyondan sonra, bir profil oluşturucu modülü ana bilgisayar adı, CPU ayrıntıları ve ağ yapılandırması dahil olmak üzere sistem bilgilerini toplar ve kurbanı saldırganların komuta ve kontrol (C2) sunucusuna kaydeder.

Ardından, minst2.bin adlı bir kalıcılık modülü zararlı yazılımın yeniden başlatma sonrasında hayatta kalmasını sağlar. Meşru bir “OneDrive” veya “Antivirus Hizmeti” işlemi kılığına girerek her girişte zararlı yazılımı yeniden başlatan bir LaunchAgent plist dosyası olan com.onedrive.launcher.plist dosyasını bırakır.

Son aşama, Macrasv2 olarak tanımlanan yükün kendisi olan hırsızdır. Bu bileşen; Chrome, Firefox, Safari, Brave ve diğerleri için tarayıcı uzantılarından veri çıkarmak üzere tasarlanmıştır. Kayıtlı kimlik bilgilerini, SQLite veritabanlarından gelen çerezleri ve macOS Anahtar Zinciri'ndeki hassas girişleri hedefler. Toplandıktan sonra veriler sıkıştırılır ve zararlı yazılım sistemden kendi izlerinin çoğunu silmeden önce Telegram bot API'si kullanılarak dışarı sızdırılır.

Bilgisayar Korsanları Hacklendi

Dikkate değer bir olay dönüşünde, saldırganların kendi operasyonel güvenliğinin yetersiz olduğu kanıtlandı. Tehdit istihbarat firması BCA Ltd.'nin kurucusu Mauro Eldritch, Lazarus Group'un C2 altyapısında iki kritik güvenlik açığı keşfetti.

Eldritch'in raporuna göre, zararlı yazılımın kodu, veri sızdırma için kullanılan Telegram botunun API belirtecini ifşa etti. Bu anahtar, araştırmacıların botun sahibini belirlemesine ve kanallarını spam ile kesintiye uğratmasına olanak tanıdı. Ayrıca, C2 sunucusunda kısıtlamasız dosya yüklemeye izin veren bir kusur vardı; bu da araştırmacıların saldırganların altyapısını gereksiz verilerle doldurmasına ve etkili bir şekilde kesintiye neden olmasına olanak sağadı. Bu durum bilgisayar korsanları için geçici bir aksama sağlasa da Mach-O Man zararlı yazılım kiti aktif ve gelişen bir tehdit olmaya devam ediyor.

Bu makale yalnızca bilgilendirme amaçlıdır ve yatırım tavsiyesi teşkil etmez.