Aparılan araşdırmalar nəticəsində macOS əməliyyat sistemi üçün nəzərdə tutulmuş yeni MacSync Stealer adlı zərərli proqram aşkarlanıb. Məlumata görə zərərli proqram Google Ads üzərindən həyata keçirilən saxta reklam kampaniyası vasitəsilə yayılır və Claude Code CLI alətini təqlid edir.
Araşdırmalar göstərir ki, hücum sosial mühəndislik üsullarından başlayaraq sistemin komprometasiya edilməsinə, giriş məlumatlarının oğurlanmasına və kriptovalyuta cüzdanlarının ələ keçirilməsinə qədər uzanan çoxmərhələli hücum zəncirinə malikdir.
Hücumçular Google axtarış sistemində “claude code mac install” kimi sorğular həyata keçirən istifadəçiləri hədəf alırlar. İstifadəçilər sponsorlu reklam vasitəsilə legitim quraşdırma səhifəsini təqlid edən saxta veb-səhifəyə yönləndirilir. Sözügedən səhifədə istifadəçilərə terminalda müəyyən əmrin icra edilməsi tövsiyə olunur.

Hücumun ilkin mərhələsində çoxqatlı şəkildə kodlaşdırılmış skript işə salınır. Daha sonra uzaq komanda-idarəetmə (C2) serveri ilə əlaqə yaradılaraq əlavə zərərli komponentlər sistemə endirilir. Nəticədə çoxmərhələli yoluxma prosesi başlayır və zərərli proqram sistemdə gizli şəkildə fəaliyyət göstərməyə başlayır.
Əsas zərərli yük kimi təqdim olunan MacSync Stealer v1.1.2 istifadəçinin fəaliyyət izlərini gizlətmək məqsədilə ilk növbədə Terminal tətbiqini bağlayır. Daha sonra istifadəçiyə macOS sistem pəncərəsinə bənzər saxta autentifikasiya pəncərəsi təqdim olunur və giriş parolunun daxil edilməsi tələb edilir.
Parol əldə edildikdən sonra zərərli proqram sistemin təhlükəsizlik mexanizmlərinə çıxış əldə edir və müxtəlif həssas məlumatları toplamağa başlayır. Oğurlanan məlumatlar arasında brauzerlərdə saxlanılan hesab məlumatları, kukilər (cookies), SSH açarları, bulud xidmətlərinə aid giriş məlumatları, mesajlaşma tətbiqlərinin sessiyaları və çoxsaylı kriptovalyuta cüzdanlarına aid məlumatlar yer alır.
Toplanmış məlumatlar müvəqqəti qovluqlarda saxlanıldıqdan sonra arxivləşdirilərək hissələr şəklində hücumçuların infrastrukturuna ötürülür.
Araşdırma nəticələrinə əsasən hücum yalnız məlumat oğurlamaqla məhdudlaşmır. Sistemində müəyyən kriptovalyuta tətbiqləri quraşdırılmış istifadəçilər əlavə risklə üzləşirlər. Zərərli proqram həmin tətbiqlərin bəzi əsas fayllarını dəyişdirərək onları trojanlaşdırılmış versiyalarla əvəz edir.
Bu dəyişiklik nəticəsində tətbiq açıldıqdan qısa müddət sonra istifadəçiyə saxta bərpa (recovery) səhifəsi təqdim edilir və ondan cüzdanın bərpa açar sözlərini (seed phrase) daxil etməsi tələb olunur. Daxil edilən məlumatlar birbaşa hücumçuların nəzarətində olan serverlərə göndərilir ki, bu da kriptovalyuta aktivlərinin tam şəkildə itirilməsi ilə nəticələnə bilər.
Mütəxəssislər bildirirlər ki, kampaniya saxta reklamların və sosial mühəndislik üsullarının kibercinayətkarlar tərəfindən getdikcə daha effektiv şəkildə istifadə olunduğunu nümayiş etdirir. MacSync Stealer həm istifadəçi məlumatlarının oğurlanması, həm də kriptovalyuta aktivlərinin hədəf alınmasını birləşdirən təhlükəli hücum modeli kimi qiymətləndirilir.
Komprometasiya İndikatorları (IOC)
Aparılmış təhlillər nəticəsində sözügedən kampaniya ilə əlaqəli aşağıdakı komprometasiya indikatorları müəyyən edilmişdir:
Dövlət qurumlarına və kibertəhlükəsizlik əməliyyatları mərkəzlərinə (SOC) qeyd olunan indikatorları təhlükəsizlik monitorinq sistemlərinə inteqrasiya etmək, həmin domen və fayl göstəriciləri üzrə axtarış aparmaq, eləcə də potensial komprometasiya hallarının müəyyən edilməsi məqsədilə əlavə təhlillər həyata keçirmək tövsiyə olunur.
© 2011-2026 Bütün Hüquqlar Qorunur