Kaspersky ChatGPT Sohbet Paylaşımlarını İstismar Eden macOS Bilgi Hırsızı Kampanyasını Ortaya Çıkardı
Kaspersky, ChatGPT sohbetlerini istismar eden AMOS kampanyasını ortaya çıkardı.
Siber güvenlik şirketi Kaspersky, Mac kullanıcılarını hedef alan ve ChatGPT’nin sohbet paylaşım özelliğini istismar eden yeni bir zararlı yazılım kampanyası tespit etti. Kaspersky Tehdit Araştırma ekibinin analizine göre saldırganlar, ücretli Google arama reklamları ve ChatGPT’nin resmi sitesi üzerinde paylaşılan sohbet bağlantıları aracılığıyla kullanıcıları kandırarak AMOS (Atomic macOS Stealer) adlı bilgi hırsızını ve kalıcı bir arka kapıyı sistemlere kurduruyor.
Kampanya kapsamında saldırganlar, “chatgpt atlas” gibi arama sorguları için sponsorlu reklamlar satın alıyor ve kullanıcıları chatgpt.com alan adı üzerinde barındırılan “ChatGPT Atlas for macOS” başlıklı sözde bir kurulum rehberine yönlendiriyor. Gerçekte ise bu sayfa, istem mühendisliği kullanılarak hazırlanmış, paylaşıma açık bir ChatGPT sohbetinden oluşuyor. İçerik, yalnızca adım adım “kurulum” talimatları kalacak şekilde düzenlenmiş durumda.
Söz konusu rehber, kullanıcıdan tek satırlık bir Terminal komutunu kopyalayıp çalıştırmasını ve talep edilen tüm izinleri vermesini istiyor. Kaspersky araştırmacılarının bulgularına göre bu komut, atlas-extension[.]com alan adından bir betik indirip çalıştırıyor. Betik, doğrulama bahanesiyle sistem parolasını tekrar tekrar talep ediyor. Parola girildiğinde ise AMOS bilgi hırsızı indiriliyor, ele geçirilen kimlik bilgileri kullanılarak sisteme yerleşiyor ve çalıştırılıyor.
Araştırma, bu sürecin kullanıcıların uzaktan kod indiren komutları kendi elleriyle çalıştırmaya ikna edildiği ClickFix tekniğinin bir varyasyonu olduğunu ortaya koyuyor. Kurulum tamamlandıktan sonra AMOS; popüler tarayıcılardan parolalar ve çerezler, Electrum, Coinomi ve Exodus gibi kripto para cüzdanlarına ait veriler, Telegram Desktop ve OpenVPN Connect gibi uygulamalardaki bilgiler ile Masaüstü, Belgeler ve İndirilenler klasörlerinde bulunan TXT, PDF ve DOCX dosyalarını hedef alıyor. Elde edilen veriler saldırganların kontrolündeki altyapıya aktarılıyor.
Buna paralel olarak, sistem yeniden başlatıldığında otomatik devreye giren kalıcı bir arka kapı da kuruluyor. Bu arka kapı, saldırganlara uzaktan erişim imkânı sunarken AMOS ile benzer bir veri toplama mantığıyla çalışıyor.
Kaspersky’ye göre bu kampanya, bilgi hırsızı zararlı yazılımların 2025 itibarıyla hızla yaygınlaştığını gösteren daha geniş bir eğilimin parçası. Saldırganlar, oltalama senaryolarını daha inandırıcı kılmak için yapay zeka temalarını, sahte YZ araçlarını ve YZ destekli içerikleri yoğun biçimde kullanıyor. Bu vakada ise meşru bir YZ platformunun yerleşik içerik paylaşım özelliği saldırının merkezine yerleştiriliyor.
Kaspersky Zararlı Yazılım Analisti Vladimir Gursky, kampanyayı etkili kılan unsurun teknik bir açıklıktan çok sosyal mühendislik olduğunu vurguluyor. Gursky’ye göre sponsorlu bağlantılar, güvenilir bir alan adı ve son derece basit görünen bir Terminal komutu, kullanıcıların alışılmış güvenlik reflekslerini devre dışı bırakabiliyor ve sonuçta sistemin tamamen ele geçirilmesine yol açabiliyor.
Kaspersky, kullanıcıların özellikle tek satırlık betiklerin Terminal veya PowerShell üzerinden çalıştırılmasını isteyen, talep edilmemiş rehberlere karşı temkinli davranmasını öneriyor. Ayrıca şüpheli komutların çalıştırılmadan önce analiz edilmesi ve güvenilir bir uç nokta güvenlik çözümü kullanılması gerektiğine dikkat çekiyor.
Bu saldırı, yapay zeka temalı içeriklerin artık yalnızca bir pazarlama unsuru olmadığını, sosyal mühendisliğin merkezine yerleştiğini gösteriyor. Güvenilir bir alan adı ve tanıdık bir YZ bağlamı, kullanıcıların teknik riskleri göz ardı etmesine yol açabiliyor. Siber güvenlik açısından bakıldığında, bu tür kampanyalar yapay zeka ekosisteminin çevresinde oluşan yeni tehdit yüzeyini net biçimde ortaya koyuyor.
