Kimlik avı yöntemi
Yıllar süren bir rahatlık döneminden sonra Mac kullanıcıları son zamanlarda giderek artan şekilde zararlı bir yazılımın hedefi haline geliyorlar. O denli bir artış ki, cihazlarına henüz trojan bulaşmamış olanlara da yakın zamanda bulaşması ihtimali oldukça yüksek.
Check Point araştırmacıları, kimlik avı yöntemiyle macOS işletim sistemini hedef alan ilk büyük ölçekli trojan olan Dok isimli yazılımı keşfettiler. Genellikle Avrupa’daki kullanıcıları hedef alan sahte mesajlar, tıklandığında sistemi ele geçiren ve internet trafiğini gözetleme altına alma imkanı kazandıran yazılımı içeren bir ‘ZIP’ dosyasını indirmeye teşvik ediyor. Hatta bu zararlı yazılım görevini tamamladığında kendisini sistemden silebiliyor.
Diğer bir çok ‘Ek-dosya tabanlı’ kimlik avı saldırılarında olduğu gibi zararlı yazılımın sisteminize bulaşması için mesajın içeriğinde bulunan bağlantılara tıklamanız gerekiyor. Yani sadece gelen mesajı okumanız sistemin enfekte olmasına yol açmıyor. Eğer bir şekilde zararlı yazılım cihazınıza bulaşırsa, aşağıdaki adımları takip ederek sisteminizden kaldırabilirsiniz.
Öncelikle Proxy ayarlarına giderek, dolandırıcılığı gerekleştiren sunucuyu sistemden silelim.
1. Ekranın sol üst köşesinde bulunan ‘Apple Menü’ye tıklayın.
2.Açılan menüden ‘Sistem Tercihleri/System Preferences)’ne gelin.
3. ‘Ağ/Network’a tıklayın
4. Kullandığınız internet bağlantısı’nı seçin (Kablosuz ya da Eternet)
5. Pencerenin sağ alt köşesinde bulunan ‘Gelişmiş/Advanced’ sekmesine tıklayın.
6. ‘Proxiler’ sekmesine gelin.
7. ‘Otomatik Proxy Ayarları/Automatic Proxy Settings’na gelin.
8. http://127.0.0.1.5555… Şeklindeki adresi listeden silin.
Dok aynı zamanda silmeniz gereken iki ‘LaunchAgents (Çalıştırma Araçları)’nı sisteme yükler.
/Users/%User%/Library/LaunchAgents/com.apple.Safari.proxy.plist
ya da
/Kullanıcılar/%Kullanıcı%/Kütüphane/ÇalıştırmaAraçları/com.apple.Safari.proxy.plist
/Users/%User%/Library/LaunchAgents/com.apple.Safari.pac.plist
ya da
/Kullanıcılar/%Kullanıcı%/Kütüphane/ÇalıştırmaAraçları/co.apple.Safari.pac.plist
Son olarak sahte imzalı ‘Apple Geliştirici’ sertifikasını silmeniz gerekiyor.
1. ‘Bul/Finder’ı çalıştırın
2. ‘Uygulamalar/Applications’ı seçin
3. ‘Araçlar/Utilities’ klasörünü açın
4. ‘Anahtar zinciri Erişimi/Keychain Access’e çift tıklayın
5. COMODO RSA Secure Server CA 2 olarak adlandırılan ‘Sertifika/Certificate’yı seçin.
6. Sertifikaya Mouse sağla tıklayın (ya da control + tıklama yapın)
7. Açılan menüden ‘Sertifikayı Sil/Delete Certificate’ seçeneğine gelin
8. Silme işlemini onaylamak için ‘Sil/Delete’i seçin.
