Mac kullanıcılarını hedef alan CrashStealer zararlı yazılımı, çökme raporlama aracını taklit ederek kişisel verileri ve parolaları çalıyor.

Mac kullanıcılarını tehdit eden CrashStealer adlı yeni bir bilgi hırsızı ortaya çıktı. Apple’ın çökme raporlama aracını taklit eden bu zararlı yazılım; Mac giriş parolasını, Keychain verilerini, tarayıcı bilgilerini, parola yöneticilerini, kişisel dosyaları ve kripto para cüzdanlarını ele geçiriyor.
Saldırıda kullanılan ilk uygulamanın geçerli bir geliştirici sertifikası taşıması ve Apple tarafından noterlenmiş olması dikkat çekiyor. Bu nedenle uygulama, macOS’in Gatekeeper güvenlik sistemi tarafından başlangıçta engellenmeden çalışabiliyor.
CrashStealer, Apple’ın CrashReporter uygulamasını taklit ediyor
CrashStealer ilk olarak Mayıs 2026’da VirusTotal’a yüklenen şüpheli bir macOS dosyasında tespit edildi. İlk örneklerde bulunan eksiklikler, zararlı yazılımın henüz geliştirme aşamasında olduğunu gösterdi.

Temmuz ayının başında gerçek sistemlerde görülen yeni sürümlerle birlikte saldırının aktif olarak kullanılmaya başladığı belirlendi. Zararlı yazılım doğrudan C++ ile geliştirildi ve kodlarında “MacOSData” adlı özel bir sınıfa yer verildi.
Saldırı, “Werkbit Setup” adıyla dağıtılan bir disk kalıbıyla başlıyor. Dosyanın içinde Werkbit.app adlı uygulama ve “veltod” isimli çalıştırılabilir bir bileşen bulunuyor.
Uygulama hem Apple Silicon hem de Intel işlemcili Mac modellerinde çalışabiliyor. Werkbit, “Emil Grigorov” adına kayıtlı geçerli bir Apple Developer ID sertifikasıyla imzalandı ve Apple’ın noterleme sürecinden geçti.
Disk kalıbının kendisi de ayrıca imzalandı. Böylece kullanıcı uygulamayı açtığında macOS’in imzasız veya doğrulanmamış yazılımlar için gösterdiği standart güvenlik uyarılarıyla karşılaşmadı.
Werkbit, toplantı ve iş birliği platformu gibi hazırlanan özel bir internet sitesi üzerinden dağıtıldı. Haziran 2026’nın sonunda kaydedilen sitede uygulamayı indirebilmek için toplantı PIN’i girilmesi gerekiyordu.
Bu yöntemle zararlı dosya siteyi ziyaret eden herkese açık şekilde sunulmadı. Yalnızca saldırganların verdiği doğru PIN koduna sahip kullanıcılar indirme bağlantısına ulaşabildi.
İnternet sitesinde çeşitli tanınmış şirketlerin logoları kullanıldı. Ancak Werkbit uygulamasında gerçek bir toplantı, görüntülü görüşme veya iş birliği özelliği bulunmuyordu.
Disk kalıbı açıldıktan sonra kullanıcıyı özel olarak hazırlanmış bir kurulum ekranı karşılıyor. Ekranda uygulamaya sağ tıklanması ve “Aç” seçeneğinin kullanılması isteniyor.
Werkbit zaten Apple tarafından noterlenmiş olduğu için Gatekeeper’ı aşmak adına böyle bir işleme ihtiyaç duymuyor. Talimatlar, kullanıcıyı uygulamayı çalıştırmaya yönlendiren sahte bir kurulum sürecinin parçası olarak kullanılıyor.
Zararlı yazılımın çalışma prensibi ve hedef aldığı veriler
Uygulama açıldıktan sonra GitHub üzerindeki “mgothiclove/pkeys” deposuna bağlanıyor ve “sys.cache” adlı dosyayı indiriyor. Dosyanın içinden çıkarılan curl komutu, saldırganların sunucusunda bulunan ikinci aşama betiğini sisteme getiriyor.

Betiğin komutları üç ayrı Base64 katmanıyla gizleniyor. Komutlar çalışma sırasında çözülerek doğrudan Bash kabuğuna aktarılıyor ve düz metin hâlinde diske kaydedilmiyor.
İkinci aşamada CrashReporter.dmg adlı asıl zararlı dosya Mac’in geçici klasörüne indiriliyor. Disk kalıbı kullanıcıya gösterilmeden sisteme bağlanıyor ve içindeki CrashReporter.app, “.CrashReporter” adlı gizli klasöre kopyalanıyor.
Dosyanın karantina işaretleri temizleniyor ve mevcut imzası kaldırılıyor. Uygulama daha sonra yerel olarak yeniden imzalanarak macOS Launch Services sistemine kaydediliyor.
CrashReporter.app adı, uygulama simgesi ve “com.apple.crashreporter” paket kimliği, Apple’ın gerçek çökme raporlama bileşenini taklit ediyor. Zararlı yazılım ayrıca “com.apple.crashreporter.helper” adında bir LaunchAgent oluşturuyor.
Kullanıcı çalışan işlemleri veya arka plan servislerini kontrol ettiğinde Apple’a aitmiş gibi görünen isimlerle karşılaşıyor. Uygulama Dock üzerinde görünmeden arka planda çalışmayı sürdürüyor.
CrashStealer açıldıktan sonra macOS’in gerçek yetkilendirme ekranına benzeyen bir parola penceresi gösteriyor. Pencerede geniş sistem erişiminin bakım ve çökme raporlama işlemleri için gerekli olduğu yazıyor.
Kullanıcının girdiği parola, macOS’in yerleşik “dscl” komutu üzerinden yerel olarak kontrol ediliyor. Yanlış parola girildiğinde hata mesajı gösteriliyor ve parola yeniden isteniyor.
Bu süreç doğru parola girilene kadar devam ediyor. Zararlı yazılım böylece rastgele bir metin yerine kullanıcının gerçek Mac giriş parolasını elde ediyor.
Ele geçirilen parola, kullanıcının giriş Keychain veritabanını açmak için kullanılıyor. Keychain içerisinde Safari giriş bilgileri, Wi-Fi parolaları, uygulama hesapları, sertifikalar, erişim belirteçleri ve özel kriptografik anahtarlar bulunabiliyor.
Açılan Keychain veritabanı gizli bir çalışma klasörüne kopyalanıyor. Kullanıcının Mac parolası da ayrı bir dosyaya kaydediliyor.
CrashStealer, Chromium tabanlı internet tarayıcılarının profil klasörlerini de tarıyor. Google Chrome, Brave, Microsoft Edge, Opera, Opera GX, Vivaldi, Chromium ve Naver Whale saldırının kapsadığı tarayıcılar arasında bulunuyor.
Firefox içerisindeki giriş bilgileri ve eklenti verileri de toplanıyor. SQLite yedekleme işlevleri kullanılarak açık durumdaki tarayıcıların kilitli veri tabanlarına erişilebiliyor.
Zararlı yazılımın hedef listesinde yaklaşık 80 kripto para cüzdanı uzantısı yer alıyor. MetaMask, Phantom, Coinbase Wallet, Trust Wallet, Rabby, OKX Wallet, Exodus, Keplr, Solflare ve Backpack bunlar arasında bulunuyor.
Solana, Cosmos, TON, Sui, Aptos ve NEO ekosistemlerinde kullanılan farklı cüzdan uzantıları da taranıyor. Tarayıcı profillerindeki cüzdan verileri, diğer hesap bilgilerinden ayrı olarak paketleniyor.
CrashStealer ayrıca 1Password, Bitwarden, LastPass, Dashlane, Keeper, KeePassXC, NordPass, Enpass ve RoboForm dahil 14 parola yöneticisine ait verileri arıyor.
Zararlı yazılım doğrudan parola yöneticisi uygulamalarını açmaya çalışmıyor. Tarayıcı uzantılarını, yerel veri klasörlerini ve ilgili kullanıcı profillerini inceliyor.
Belgeler ve İndirilenler klasörlerindeki kişisel dosyalar da saldırının kapsamına giriyor. Ancak sistemde bulunan bütün dosyalar rastgele kopyalanmıyor.
Önbellekler, günlük dosyaları, çöp kutusu, uygulama durum dosyaları, Git depoları ve geliştirme klasörleri atlanıyor. DMG, ISO ve PKG dosyalarıyla birlikte uygulamalar, yürütülebilir dosyalar, sistem kütüphaneleri, büyük arşivler ve videolar da dışarıda bırakılıyor.
Toplanan bilgiler diskte açık biçimde tutulmuyor. Her dosya Apple’ın CommonCrypto altyapısı kullanılarak AES-256-GCM yöntemiyle şifreleniyor.
Şifreleme anahtarı PBKDF2-HMAC-SHA256 üzerinden 10 bin turla oluşturuluyor. Tarayıcı bilgileri, Keychain kayıtları, cüzdan verileri, parola yöneticileri ve sistem bilgileri ayrı gizli ZIP arşivlerinde paketleniyor.
Hazırlanan arşivler libcurl üzerinden saldırganların komuta ve kontrol sunucusuna gönderiliyor. İlk örneklerde sunucu adresi uygulamanın Info.plist dosyasında açık biçimde yer alıyordu.
Daha yeni sürümlerde sunucu adresi kaldırıldı ve hassas dizeler şifreli kod bloklarının içine taşındı. Zararlı yazılımın kod yapısı ve veri toplama yöntemleri yeni sürümlerde düzenli olarak değiştirildi.
CrashStealer, Mac yeniden başlatıldıktan sonra da çalışmaya devam edebiliyor. Bunun için kendisini kullanıcının Library/Caches klasörüne kopyalıyor ve oluşturduğu LaunchAgent üzerinden her oturum açılışında başlatılıyor.
İşlem hata vererek kapanırsa macOS’in launchd servisi tarafından yeniden çalıştırılıyor. Uygulamanın çıktıları “/dev/null” konumuna yönlendiriliyor ve kullanıcıya herhangi bir pencere gösterilmiyor.
Zararlı yazılım tersine mühendislik çalışmalarına karşı da çeşitli önlemler taşıyor. Kod akışı karmaşıklaştırılıyor, dosya yolları ve sunucu adresleri şifreli dizelerde saklanıyor.
Sistemde bir hata ayıklayıcı çalışıp çalışmadığı birden fazla aşamada kontrol ediliyor. Hata ayıklayıcı tespit edilirse zararlı işlemler başlamadan uygulama kapatılıyor.
Mac üzerinde yüklü güvenlik yazılımları, uç nokta koruma araçları ve zararlı yazılım analiz programları da inceleniyor. Bu uygulamaların sürümleriyle birlikte diskte kapladıkları alan kontrol ediliyor.
Werkbit ile bağlantılı geliştirici hesabı Apple’a bildirildi ve uygulamada kullanılan imzalama bilgileri iptal edildi. Saldırı altyapısıyla bağlantılı birden fazla alan adı ve yönetim paneli de tespit edildi.
Bazı alan adlarında Windows sistemlerine yönelik dosya yolları ve bileşenler bulundu. Saldırganların benzer yöntemi farklı işletim sistemleri için de hazırladığı değerlendiriliyor.
Mac kullanıcılarının Werkbit, Werkbit Setup veya CrashReporter adıyla sunulan şüpheli kurulum dosyalarını çalıştırmaması gerekiyor. Beklenmedik bir uygulama Mac giriş parolasını isterse pencere kapatılmalı ve işlem sonlandırılmalı.
Werkbit’i çalıştıran ve parola ekranına bilgi giren kullanıcıların hesap parolalarını temiz bir cihaz üzerinden değiştirmesi gerekiyor. Açık oturumlar kapatılmalı ve desteklenen bütün hesaplarda iki aşamalı doğrulama etkinleştirilmeli.
Kripto cüzdanı özel anahtarları veya kurtarma ifadeleri Mac üzerinde saklandıysa mevcut cüzdan güvenli kabul edilmemeli. Varlıkların yeni anahtarlarla oluşturulan temiz bir cüzdana aktarılması gerekiyor.
Bu yeni zararlı yazılım türü hakkında siz neler düşünüyorsunuz?





