Mac’lerde Parola ve Data Hırsızlığı: CrashStealer Nedir?

Mac kullanıcılarını tehdit eden CrashStealer isimli yeni bir bilgi hırsızı ortaya çıktı. Apple’ın çökme raporlama aracını taklit eden bu ziyanlı yazılım; Mac giriş parolasını, Keychain bilgilerini, tarayıcı bilgilerini, parola yöneticilerini, şahsî belgeleri ve kripto para cüzdanlarını ele geçiriyor.
Haberi okuduğunuz için teşekkürler, bizi takip etmeyi unutmayın!
Saldırıda kullanılan birinci uygulamanın geçerli bir geliştirici sertifikası taşıması ve Apple tarafından noterlenmiş olması dikkat çekiyor. Bu sebeple uygulama, macOS’in Gatekeeper güvenlik sistemi tarafından başlangıçta engellenmeden çalışabiliyor.
CrashStealer, Apple’ın CrashReporter uygulamasını taklit ediyor
CrashStealer birinci olarak Mayıs 2026’da VirusTotal’a yüklenen kuşkulu bir macOS evrakında tespit edildi. Birinci örneklerde bulunan eksiklikler, ziyanlı yazılımın şimdi geliştirme basamağında olduğunu gösterdi.

Temmuz ayının başında gerçek sistemlerde görülen yeni sürümlerle birlikte taarruzun etkin olarak kullanılmaya başladığı belirlendi. Ziyanlı yazılım direkt C++ ile geliştirildi ve kodlarında “MacOSData” adlı özel bir sınıfa yer verildi.
Saldırı, “Werkbit Setup” ismiyle dağıtılan bir disk kalıbıyla başlıyor. Evrakın içinde Werkbit.app isimli uygulama ve “veltod” isimli çalıştırılabilir bir bileşen bulunuyor.
Uygulama hem Apple Silicon hem de Intel işlemcili Mac modellerinde çalışabiliyor. Werkbit, “Emil Grigorov” ismine kayıtlı geçerli bir Apple Developer ID sertifikasıyla imzalandı ve Apple’ın noterleme sürecinden geçti.
Disk kalıbının kendisi de ayrıyeten imzalandı. Böylelikle kullanıcı uygulamayı açtığında macOS’in imzasız yahut doğrulanmamış yazılımlar için gösterdiği standart güvenlik ihtarlarıyla karşılaşmadı.
Werkbit, toplantı ve iş birliği platformu üzere hazırlanan özel bir internet sitesi üzerinden dağıtıldı. Haziran 2026’nın sonunda kaydedilen sitede uygulamayı indirebilmek için toplantı PIN’i girilmesi gerekiyordu.
Bu teknikle ziyanlı belge siteyi ziyaret eden herkese açık formda sunulmadı. Sırf saldırganların verdiği hakikat PIN koduna sahip kullanıcılar indirme ilişkisine ulaşabildi.
İnternet sitesinde çeşitli tanınmış şirketlerin logoları kullanıldı. Fakat Werkbit uygulamasında gerçek bir toplantı, manzaralı görüşme veya iş birliği özelliği bulunmuyordu.
Disk kalıbı açıldıktan sonra kullanıcıyı özel olarak hazırlanmış bir suram ekranı karşılıyor. Ekranda uygulamaya sağ tıklanması ve “Aç” seçeneğinin kullanılması isteniyor.
Werkbit esasen Apple tarafından noterlenmiş olduğu için Gatekeeper’ı aşmak ismine bu türlü bir sürece gereksinim duymuyor. Talimatlar, kullanıcıyı uygulamayı çalıştırmaya yönlendiren düzmece bir suram sürecinin modülü olarak kullanılıyor.
Zararlı yazılımın çalışma prensibi ve gaye aldığı veriler
Uygulama açıldıktan sonra GitHub üzerindeki “mgothiclove/pkeys” deposuna bağlanıyor ve “sys.cache” isimli belgeyi indiriyor. Belgenin içinden çıkarılan curl komutu, saldırganların sunucusunda bulunan ikinci basamak betiğini sisteme getiriyor.

Betiğin komutları üç başka Base64 katmanıyla gizleniyor. Komutlar çalışma sırasında çözülerek direkt Bash kabuğuna aktarılıyor ve düz metin hâlinde diske kaydedilmiyor.
İkinci etapta CrashReporter.dmg isimli asıl ziyanlı evrak Mac’in süreksiz klasörüne indiriliyor. Disk kalıbı kullanıcıya gösterilmeden sisteme bağlanıyor ve içindeki CrashReporter.app, “.CrashReporter” isimli bâtın klasöre kopyalanıyor.
Dosyanın karantina işaretleri temizleniyor ve mevcut imzası kaldırılıyor. Uygulama daha sonra mahallî olarak tekrar imzalanarak macOS Launch Services sistemine kaydediliyor.
CrashReporter.app ismi, uygulama simgesi ve “com.apple.crashreporter” paket kimliği, Apple’ın gerçek çökme raporlama bileşenini taklit ediyor. Ziyanlı yazılım ayrıyeten “com.apple.crashreporter.helper” isminde bir LaunchAgent oluşturuyor.
Kullanıcı çalışan süreçleri yahut arka plan servislerini denetim ettiğinde Apple’a aitmiş üzere görünen isimlerle karşılaşıyor. Uygulama Dock üzerinde görünmeden arka planda çalışmayı sürdürüyor.
CrashStealer açıldıktan sonra macOS’in gerçek yetkilendirme ekranına benzeyen bir parola penceresi gösteriyor. Pencerede geniş sistem erişiminin bakım ve çökme raporlama süreçleri için gerekli olduğu yazıyor.
Kullanıcının girdiği parola, macOS’in yerleşik “dscl” komutu üzerinden mahallî olarak denetim ediliyor. Yanlış parola girildiğinde yanılgı bildirisi gösteriliyor ve parola yine isteniyor.
Bu süreç gerçek parola girilene kadar devam ediyor. Ziyanlı yazılım böylelikle rastgele bir metin yerine kullanıcının gerçek Mac giriş parolasını elde ediyor.
Ele geçirilen parola, kullanıcının giriş Keychain veritabanını açmak için kullanılıyor. Keychain içerisinde Safari giriş bilgileri, Wi-Fi parolaları, uygulama hesapları, sertifikalar, erişim belirteçleri ve özel kriptografik anahtarlar bulunabiliyor.
Açılan Keychain veritabanı kapalı bir çalışma klasörüne kopyalanıyor. Kullanıcının Mac parolası da farklı bir belgeye kaydediliyor.
CrashStealer, Chromium tabanlı internet tarayıcılarının profil klasörlerini de tarıyor. Google Chrome, Brave, Microsoft Edge, Opera, Opera GX, Vivaldi, Chromium ve Naver Whale atağın kapsadığı tarayıcılar arasında bulunuyor.
Firefox içerisindeki giriş bilgileri ve eklenti dataları de toplanıyor. SQLite yedekleme fonksiyonları kullanılarak açık durumdaki tarayıcıların kilitli bilgi tabanlarına erişilebiliyor.
Zararlı yazılımın gaye listesinde yaklaşık 80 kripto para cüzdanı uzantısı yer alıyor. MetaMask, Phantom, Coinbase Wallet, Trust Wallet, Rabby, OKX Wallet, Exodus, Keplr, Solflare ve Backpack bunlar arasında bulunuyor.
Solana, Cosmos, TON, Sui, Aptos ve NEO ekosistemlerinde kullanılan farklı cüzdan uzantıları da taranıyor. Tarayıcı profillerindeki cüzdan bilgileri, öteki hesap bilgilerinden başka olarak paketleniyor.
CrashStealer ayrıyeten 1Password, Bitwarden, LastPass, Dashlane, Keeper, KeePassXC, NordPass, Enpass ve RoboForm dahil 14 parola yöneticisine ilişkin dataları arıyor.
Zararlı yazılım direkt parola yöneticisi uygulamalarını açmaya çalışmıyor. Tarayıcı uzantılarını, lokal data klasörlerini ve ilgili kullanıcı profillerini inceliyor.
Belgeler ve İndirilenler klasörlerindeki şahsî belgeler da atağın kapsamına giriyor. Lakin sistemde bulunan bütün evraklar rastgele kopyalanmıyor.
Önbellekler, günlük evrakları, çöp kutusu, uygulama durum belgeleri, Git depoları ve geliştirme klasörleri atlanıyor. DMG, ISO ve PKG belgeleriyle birlikte uygulamalar, yürütülebilir belgeler, sistem kütüphaneleri, büyük arşivler ve görüntüler da dışarıda bırakılıyor.
Toplanan bilgiler diskte açık biçimde tutulmuyor. Her evrak Apple’ın CommonCrypto altyapısı kullanılarak AES-256-GCM tekniğiyle şifreleniyor.
Şifreleme anahtarı PBKDF2-HMAC-SHA256 üzerinden 10 bin tıpla oluşturuluyor. Tarayıcı bilgileri, Keychain kayıtları, cüzdan bilgileri, parola yöneticileri ve sistem bilgileri başka bâtın ZIP arşivlerinde paketleniyor.
Hazırlanan arşivler libcurl üzerinden saldırganların komuta ve denetim sunucusuna gönderiliyor. Birinci örneklerde sunucu adresi uygulamanın Info.plist belgesinde açık biçimde yer alıyordu.
Daha yeni sürümlerde sunucu adresi kaldırıldı ve hassas dizeler şifreli kod bloklarının içine taşındı. Ziyanlı yazılımın kod yapısı ve bilgi toplama yolları yeni sürümlerde tertipli olarak değiştirildi.
CrashStealer, Mac yine başlatıldıktan sonra da çalışmaya devam edebiliyor. Bunun için kendisini kullanıcının Library/Caches klasörüne kopyalıyor ve oluşturduğu LaunchAgent üzerinden her oturum açılışında başlatılıyor.
İşlem yanılgı vererek kapanırsa macOS’in launchd servisi tarafından tekrar çalıştırılıyor. Uygulamanın çıktıları “/dev/null” pozisyonuna yönlendiriliyor ve kullanıcıya rastgele bir pencere gösterilmiyor.
Zararlı yazılım bilakis mühendislik çalışmalarına karşı da çeşitli tedbirler taşıyor. Kod akışı karmaşıklaştırılıyor, belge yolları ve sunucu adresleri şifreli dizelerde saklanıyor.
Sistemde bir kusur ayıklayıcı çalışıp çalışmadığı birden fazla etapta denetim ediliyor. Yanılgı ayıklayıcı tespit edilirse ziyanlı süreçler başlamadan uygulama kapatılıyor.
Mac üzerinde yüklü güvenlik yazılımları, uç nokta müdafaa araçları ve ziyanlı yazılım tahlil programları da inceleniyor. Bu uygulamaların sürümleriyle birlikte diskte kapladıkları alan denetim ediliyor.
Werkbit ile irtibatlı geliştirici hesabı Apple’a bildirildi ve uygulamada kullanılan imzalama bilgileri iptal edildi. Taarruz altyapısıyla irtibatlı birden fazla alan ismi ve idare paneli de tespit edildi.
Bazı alan isimlerinde Windows sistemlerine yönelik belge yolları ve bileşenler bulundu. Saldırganların emsal usulü farklı işletim sistemleri için de hazırladığı bedellendiriliyor.
Mac kullanıcılarının Werkbit, Werkbit Setup yahut CrashReporter ismiyle sunulan kuşkulu suram belgelerini çalıştırmaması gerekiyor. Beklenmedik bir uygulama Mac giriş parolasını isterse pencere kapatılmalı ve süreç sonlandırılmalı.
Werkbit’i çalıştıran ve parola ekranına bilgi giren kullanıcıların hesap parolalarını pak bir aygıt üzerinden değiştirmesi gerekiyor. Açık oturumlar kapatılmalı ve desteklenen bütün hesaplarda iki kademeli doğrulama aktifleştirilmeli.
Kripto cüzdanı özel anahtarları yahut kurtarma sözleri Mac üzerinde saklandıysa mevcut cüzdan inançlı kabul edilmemeli. Varlıkların yeni anahtarlarla oluşturulan pak bir cüzdana aktarılması gerekiyor.
Bu yeni ziyanlı yazılım tipi hakkında siz neler düşünüyorsunuz?
Tek tıkla reaksiyon bırakabilirsin.




Yorumlar
0 yorum