Infinity Stealer Zararlı Yazılımı: macOS Veri Hırsızlığı ve Tespit/Önleme Yöntemleri
Bu makale, macOS işletim sistemlerini hedef alan yeni bir bilgi hırsızı (info-stealer) zararlı yazılımı olan Infinity Stealer'ın teknik analizini, yayılma vektörlerini ve potansiyel tespit/temizleme adımlarını açıklamaktadır. Infinity Stealer, Python tabanlı yüklerini Nuitka açık kaynak derleyicisini kullanarak çalıştırılabilir bir dosya (executable) haline getirerek tespit mekanizmalarından kaçınmayı amaçlar.
Infinity Stealer'ın Çalışma Prensibi ve Yayılımı
Infinity Stealer, tipik olarak sosyal mühendislik teknikleri kullanılarak kullanıcılara sunulan 'ClickFix' benzeri yemler (lures) aracılığıyla yayılmaktadır. Bu yemler, genellikle kullanıcıların bir yazılımı güncelleme veya düzeltme ihtiyacı olduğuna inandırılmasıyla tetiklenir.
Teknik Detaylar
- Payload Oluşturma: Zararlı yazılımın çekirdeği Python ile yazılmıştır. Tespit edilmeyi zorlaştırmak için Nuitka derleyicisi kullanılarak tek bir çalıştırılabilir dosyaya dönüştürülür.
- Hedeflenen Veriler: Infinity Stealer, macOS sistemlerinden çeşitli hassas bilgileri çalmak üzere tasarlanmıştır. Bunlar arasında şunlar bulunabilir: Tarayıcı şifreleri (Chrome, Safari, Firefox), kripto cüzdan bilgileri, sistem konfigürasyon dosyaları ve anahtarlık (Keychain) verileri.
- İletişim: Çalınan veriler, genellikle saldırganların kontrolündeki bir komuta ve kontrol (C2) sunucusuna HTTP/HTTPS üzerinden sızdırılır.
Tespit ve Analiz Adımları (Intermediate Seviye)
Sistemde Infinity Stealer aktivitesini şüpheli gördüğünüzde, aşağıdaki adımları izleyerek potansiyel enfeksiyonu doğrulayabilir ve analiz edebilirsiniz.
1. Şüpheli Süreçlerin İzlenmesi
Infinity Stealer'ın Python tabanlı yükleri, çalıştırıldığında sistemde anormal süreç aktivitesine neden olabilir. ps ve lsof komutlarını kullanarak şüpheli işlemleri kontrol edin.
# CPU veya bellek kullanımı yüksek olan şüpheli Python süreçlerini arayın
ps aux | grep -i 'python' | grep -v 'grep'
# Ağ bağlantılarını kontrol edin (C2 sunucusu tespiti için)
lsof -i -P -n | grep ESTABLISHED
2. Dosya Sistemi İncelemesi
Nuitka ile derlenmiş dosyalar genellikle geçici dizinlerde veya kullanıcının İndirilenler klasöründe gizlenir. Çalıştırılabilir dosyanın kendisini ve kalıcılık mekanizmalarını (LaunchAgents/Daemons) kontrol edin.
# Geçici dizinlerdeki şüpheli dosyaları arayın
find /tmp -type f -name "*fix*" -mtime -7 2>/dev/null
# Kalıcılık mekanizmalarını kontrol edin
ls ~/Library/LaunchAgents/ | grep -i 'fix'
UYARI: Infinity Stealer, Keychain verilerini hedeflediği için, enfekte olmuş bir sistemde parola yönetimi veya kripto cüzdan erişimi derhal durdurulmalıdır. Sistem, ağdan izole edilmelidir.
Önleme ve Temizleme Stratejileri
Bu tür tehditlere karşı korunma, proaktif güvenlik önlemleri almayı gerektirir.
- Uygulama İndirme Güvenliği: Yalnızca resmi ve güvenilir kaynaklardan yazılım indirin. Şüpheli e-postalardaki veya mesajlardaki ekleri veya bağlantıları asla çalıştırmayın.
- Gatekeeper ve MRT Kontrolü: macOS Güvenlik ve Gizlilik ayarlarının doğru yapılandırıldığından emin olun. Sisteminizde bilinen zararlı yazılımları kaldırmak için macOS'un yerleşik Zararlı Yazılım Kaldırma Aracı'nın (MRT) güncel olduğundan emin olun.
- Antivirüs/EDR Çözümleri: Davranışsal analiz yapabilen güncel antivirüs veya Uç Nokta Tespit ve Yanıt (EDR) çözümleri kullanın. Özellikle Python tabanlı zararlı yazılımları tespit edebilen çözümler tercih edilmelidir.
- Sistem Güncellemeleri: İşletim sisteminizi ve tüm uygulamalarınızı en son güvenlik yamalarıyla güncel tutun.
Eğer bir enfeksiyon tespit edilirse, sistemin tamamen temizlenmesi için güvenli modda önyükleme yapılması ve ardından tüm kullanıcı verilerinin yedeklenmesi (ancak zararlı yazılımın çalıştırılabilir dosyalarının değil) ve temiz bir macOS kurulumu yapılması önerilir.
