PRINCIPAL DATA SECURITY CONSULTANT

ClickFix, Kimlik Bilgisi Toplama için macOS’ta Guguk Kuşu Hırsızı Dağıtmak için Meşru Homebrew İş Akışını Kötüye Kullanıyor

2 min read
15 saat ago Seyhan Tekelioğlu
Sofistike bir sosyal mühendislik kampanyası, kapsamlı bir kimlik bilgisi toplama kötü amaçlı yazılımı olan Cuckoo Stealer'ı kullanan sahte Homebrew kurulum sayfaları aracılığıyla macOS geliştiricilerini hedefliyor. Saldırı, kullanıcıları meşru yazılım yükleme komut dosyaları olarak gizlenmiş kötü amaçlı Terminal komutlarını yürütmeleri için kandıran ClickFix tekniğinden yararlanıyor. Yazılım güvenlik açıklarını hedefleyen geleneksel istismarların aksine, bu kampanya kullanıcı güvenini…

Sofistike bir sosyal mühendislik kampanyası, kapsamlı bir kimlik bilgisi toplama kötü amaçlı yazılımı olan Cuckoo Stealer'ı kullanan sahte Homebrew kurulum sayfaları aracılığıyla macOS geliştiricilerini hedefliyor. Saldırı, kullanıcıları meşru yazılım yükleme komut dosyaları olarak gizlenmiş kötü amaçlı Terminal komutlarını yürütmeleri için kandıran ClickFix tekniğinden yararlanıyor. Yazılım güvenlik açıklarını hedefleyen geleneksel istismarların aksine, bu kampanya kullanıcı güvenini ve tanıdık geliştirici iş akışlarını istismar eder. Operasyon, resmi Homebrew web sitesini mükemmel bir şekilde kopyalayan yazım hatası alan alanlarının etrafında toplanıyor. Geliştiriciler bu sahte sayfaları ziyaret ettiklerinde, kullanışlı bir kopyalama düğmesiyle standart bir yükleme komutu gibi görünen bir şeyle karşılaşırlar. Kötü amaçlı komut, raw.githubusercontent.com'u hızlı denetimden kaçacak kadar ince bir değişiklik olan raw.homabrews.org ile değiştirerek meşru olandan sadece tek bir alan adı değişikliği ile farklıdır. Hunt'taki homabrews.org için yüksek riskli değerlendirmeyi gösteren alan adı kayıt ayrıntıları (Kaynak – Hunt.io)

Komut dosyası yürütüldükten sonra, macOS Directory Services kullanarak sürekli bir parola istemi döngüsü aracılığıyla kullanıcı kimlik bilgilerini toplar ve saldırganların ikinci aşama yükünü dağıtmadan önce geçerli kimlik bilgileri almasını sağlar. Hunt.io analistleri, 13 Ocak 2026 'da kaydedilen yazım hatası alan homabrews.org'u keşfettikten sonra bu kampanyayı belirledi. Kritik raw.homabrews.org alt etki alanı da dahil olmak üzere birden fazla işaretli URL'yi gösteren kimlik avı URL tespiti (Kaynak – Hunt.io)

Altyapı analizi, en eski sertifikaların Temmuz 2025 'e kadar uzandığı 5.255.123.244 IP adresinde paylaşılan altyapı üzerinde barındırılan birbirine bağlı altı etki alanını ortaya çıkardı. Paylaşılan IP altyapısında barındırılan birden fazla kötü amaçlı etki alanı 5.255.123.244 (Kaynak – Av.

Kaynak: Cyber Security News

Yayin Tarihi: 18.02.2026 18:14

Bu haber otomatik olarak Ingilizceden Turkceye cevrilmistir.

Görüntülenme: 3
Tags:

Benzer Yazılar

1 min read

Citizen Lab Finds Cellebrite Tool Used on Kenyan Activist’s Phone in Police Custody

3 saat ago Seyhan Tekelioğlu
3 min read

Fake CAPTCHA (ClickFix) Attack Chain Leads to Enterprise‑Wide Malware Infection in Organisations

1 gün ago Seyhan Tekelioğlu
2 min read

Vahşi Hedefleme Kurumsal Ağlarında Kritik Ivanti EPMM Sıfır Gün Güvenlik Açıkları Kullanıldı

2 gün ago Seyhan Tekelioğlu

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Bunlara bir göz atın

1 min read

Citizen Lab Finds Cellebrite Tool Used on Kenyan Activist’s Phone in Police Custody

3 saat ago Seyhan Tekelioğlu
2 min read

ClickFix, Kimlik Bilgisi Toplama için macOS’ta Guguk Kuşu Hırsızı Dağıtmak için Meşru Homebrew İş Akışını Kötüye Kullanıyor

15 saat ago Seyhan Tekelioğlu
3 min read

Fake CAPTCHA (ClickFix) Attack Chain Leads to Enterprise‑Wide Malware Infection in Organisations

1 gün ago Seyhan Tekelioğlu
2 min read

Vahşi Hedefleme Kurumsal Ağlarında Kritik Ivanti EPMM Sıfır Gün Güvenlik Açıkları Kullanıldı

2 gün ago Seyhan Tekelioğlu