Kaspersky Tehdit Araştırma ekibi, ücretli Google arama reklamları ve ChatGPT'nin resmi internet sitesindeki sohbet paylaşımlarını kullanarak Mac kullanıcılarını kandırmayı hedefleyen yeni bir zararlı yazılım operasyonu tespit etti. Saldırganlar, kullanıcıları Atomic macOS Stealer (AMOS) adlı bilgi hırsızı yazılımı ve kalıcı bir arka kapıyı cihazlarına kendi elleriyle kurmaya yönlendiriyor. Saldırganlar, "chatgpt atlas" gibi arama sorguları için sponsorlu reklamlar satın alarak kullanıcıları "chatgpt" alan adında barındırılan "ChatGPT Atlas for macOS" adlı sahte bir kurulum rehberine çekiyor. Gerçekte bu sayfa, istem mühendisliği (prompt engineering) kullanılarak oluşturulmuş, paylaşıma açık sıradan bir ChatGPT sohbetinden oluşuyor. İçerik, yalnızca adım adım "kurulum" talimatları kalacak şekilde düzenlenerek insanların karşısına çıkarılıyor. Rehber, kullanıcılardan tek satırlık bir kodu kopyalamalarını, macOS Terminal'i açarak bu komutu yapıştırmalarını ve istenen tüm izinleri vermelerini bekliyor. Zararlı yazılımın çalışma mekanizması Kaspersky araştırmacılarının analizine göre, ilgili komut "atlas-extension[.]com" adlı harici bir adresten bir betik indirip çalıştırıyor. Betik, sistem komutlarını yürütmek amacıyla kullanıcıdan ısrarla sistem parolasını talep ediyor. Doğru parola girildiğinde betik, AMOS bilgi hırsızını indiriyor ve ele geçirilen kimlik bilgilerini kullanarak yazılımı sisteme kuruyor. Bu süreç, kullanıcıların uzaktaki sunuculardan kod indirip çalıştıran komutları manuel olarak yürütmeye ikna edildiği "ClickFix" tekniğinin bir varyasyonu olarak değerlendiriliyor. Kurulum tamamlandıktan sonra AMOS, maddi kazanç sağlamak amacıyla çeşitli verileri toplamaya başlıyor. Zararlı yazılımın hedef aldığı platformlar ve dosya türleri şu şekildedir: Kategori Hedeflenen Veriler ve Uygulamalar Tarayıcılar Parolalar ve çerezler Kripto Cüzdanlar Electrum, Coinomi, Exodus Mesajlaşma ve Ağ Telegram Desktop, OpenVPN Connect Dosya Uzantıları TXT, PDF, DOCX Sistem Uygulamaları Notes (Notlar) uygulaması verileri Sistem yeniden başlatıldığında otomatik olarak devreye giren bir arka kapı da eş zamanlı olarak kuruluyor. Bu yapı, saldırganlara uzaktan erişim imkanı tanırken AMOS ile benzer bir veri toplama mantığıyla hareket ediyor. Bilgi hırsızı yazılımların 2025'in en hızlı büyüyen tehditleri arasında yer alması, saldırganların oltalama senaryolarını daha inandırıcı kılmak için yapay zeka temalarını ve içeriklerini daha sık kullanmasına neden oluyor. Korunma yöntemleri ve uzman görüşleri Kaspersky, özellikle bir web sitesi veya sohbet üzerinden tek satırlık bir betiğin kopyalanmasını isteyen rehberlere karşı temkinli olunmasını öneriyor. Talimatlar net değilse bu tür sayfaların kapatılması, şüpheli komutların çalıştırılmadan önce ne yaptığını anlamak için güvenlik araçlarıyla incelenmesi ve güncel güvenlik yazılımlarının kullanılması tavsiye ediliyor. Kaspersky Zararlı Yazılım Analisti Vladimir Gursky, vakayı etkili kılan unsuru şu sözlerle açıklıyor: "Sponsorlu bir bağlantının, güvenilir bir alan adındaki düzenli bir sayfaya yönlendirdiğini ve 'kurulum rehberi'nin tek bir Terminal komutundan ibaret olduğunu görüyoruz. Birçok kullanıcı için bu güven ve basitlik birleşimi, alışıldık temkin mekanizmalarını devre dışı bırakmaya yetiyor. Oysa sonuç, sistemin tamamen ele geçirilmesi ve saldırgan için uzun vadeli erişim anlamına geliyor."
