29.03.2026 14:00

Kripto kullanıcıları, Cloudflare doğrulama adımını taklit eden yeni bir phishing dalgası hakkında uyarıldı. Gerçek bir güvenlik kontrolüyle karşılaşmak yerine, kurbanlar update-check.com gibi alan adlarından gelen sahte CAPTCHA sayfalarına yönlendiriliyor. Bu sayfalar, geçerli bir zorluk ekranını taklit edecek şekilde kasıtlı olarak tasarlanmış, kullanıcıları Terminal'lerini açıp görünüşte zararsız bir komutu yapıştırmaya teşvik ediyor.

Gerçekte, komut gizli bir kurulum programı olarak hizmet veriyor ve sessizce yeni keşfedilen “Infinitely Stealer” adlı macOS kötü amaçlı yazılım türünü indirip kuruyor. Saldırı, ClickFix tekniği olarak sınıflandırılıyor ve yazılım açıklarından ziyade sosyal mühendislik üzerine dayanıyor. Kullanıcıları kötü amaçlı komutu kendileri çalıştırmaya ikna ederek tehdit, birçok geleneksel savunmayı atlıyor ve belirgin uyarı veya açılır pencere bırakmıyor.

Yakın zamanda açıklanan Malwarebytes analizi, Malicious Code Factory (MCF) operatör panelinin artık kamuya açık olduğunu ve “Infinite Stealer” lakabını taşıdığını ortaya koydu. Kurulum betiği çalıştırıldığında, uzaktaki bir sunucuya bağlanıyor, derlenmiş ikili dosyayı indiriyor ve kurbanın makinesine sessizce yerleştiriyor. Yük, yorumlanmış bir betik yerine yerel bir macOS yürütülebilir dosyası olduğundan, iç işleyişi çözmek zor, bu da tespit çabalarını zorlaştırıyor.

Ana tehlike, kötü amaçlı yazılımın çıkardığı şeyde yatıyor: kripto para cüzdan dosyaları, özel anahtarlar ve tarayıcılar ile diğer uygulamalardan toplanan kayıtlı kimlik bilgileri. Geliştiriciler ve MacBook'lardan masaüstü Mac'lere kadar macOS cihazlarında dijital varlıkları saklayan herkes potansiyel hırsızlığa maruz kalıyor. Güvenlik uzmanları, beklenmeyen doğrulama istemleriyle karşılaşıldığında özellikle dikkatli olmanın, bu yeni ClickFix kampanyasını önlemek için kritik olduğunu vurguluyor.