Yeni Malware Kampanyaları ve Tehditler
Son dönemde siber güvenlik araştırmacıları, Bitdefender tarafından sunulan sahte bir antivirus yazılımı reklamı ile kullanıcıları kandırmayı amaçlayan yeni bir malware kampanyası duyurdular. Bu kampanya, kurbanların uzaktan erişim trojanı olan Venom RAT’i indirmelerini sağlamak için tasarlanmıştır. DomainTools Intelligence (DTI) ekibi, bu kampanyanın "bireyleri hedef alarak bilgi güvenliğini ihlal etme niyeti taşıdığını" belirtmiştir.
Bitdefender’ın Sahte İndirme Sitesi
Söz konusu sahte web sitesi, "bitdefender-download[.]com" adresinde yer almaktadır. Bu site, ziyaretçileri Windows için antivirus yazılımını indirmeye teşvik ediyor. "Windows için İndir" butonuna tıklanması, kullanıcıların Bitbucket kayıtlarından bir dosya indirmesine neden oluyor. Ancak, bu Bitbucket hesabının artık aktif olmadığı anlaşılmaktadır.
ZIP arşivi olan "BitDefender.zip" içinde, Venom RAT ile ilgili kötü niyetli yapılandırmalar barındıran "StoreInstaller.exe" adlı bir çalıştırılabilir dosya bulunmaktadır. Ayrıca, bu dosya SilentTrinity ve StormKitty hırsızları ile ilişkili kodlar içermektedir. Venom RAT, Quasar RAT‘ın bir varyantıdır ve saldırganlara süreklilik arz eden uzaktan erişim sağlar.
Finansal Kazanç Amacı
DomainTools, sahte Bitdefender web sitesinin, Royal Bank of Canada ve Microsoft gibi bankaları taklit eden diğer kötü niyetli alanlarla benzer yapı ve zaman dilimlerini paylaştığını belirtmiştir. Bu tür sahte siteler, kullanıcıların giriş bilgilerini çalmak amacıyla tasarlanmış phishing aktiviteleri için kullanılmaktadır.
"Saldırganlar bu araçları iç içe çalıştırıyor: Venom RAT saldıran kişinin sistemine sızıyor, StormKitty şifrelerinizi ve dijital cüzdan bilgilerinizi çalıyor ve SilentTrinity ise saldırganın gizliliğini korumasını sağlıyor," denmektedir. Bu kampanya, modüler malware kullanımının sürekli bir eğilim olduğunu ortaya koymaktadır. Saldırganlar, açık kaynak bileşenlerden oluşturulmuş komplikasyon oluşturan malware’leri tercih ediyor.
ClickFix Tarzı Kampanyalar
Bu açıklamalar, Sucuri’in kullanıcıları yanıltmak için sahte Google Meet sayfaları kullanan bir ClickFix tarzı kampanyaya dair uyarısının ardından gelmektedir. Bu sahte sayfalar, kullanıcıları noanti-vm.bat RAT adlı karmaşık bir Windows betiğini yüklemeye yöneltmektedir. Bu dağıtım, kurbanların bilgisayarları üzerinde uzaktan kontrol sağlar.
"Güya Google Meet sayfası, doğrudan kullanıcıların kimlik bilgilerini çalmaya yönelik bir giriş formu sunmuyor," diyen güvenlik araştırmacısı Puja Srivastava, sahte bir ‘Mikrofon İzniniz Reddedildi’ hatası sunarak kullanıcıları, bir PowerShell komutunu kopyalayıp yapıştırmaya ikna etmektedir.
Hedeflenmiş Phishing Saldırıları
Ayrıca, Google’ın AppSheet no-code geliştirme platformunu kullanarak Meta taklit eden son derece hedeflenmiş ve karmaşık bir kampanya da gözlemlenmiştir. Bu kampanyada, saldırganlar polimorfik tanımlayıcılar, gelişmiş adam-arada ağaçları ve çok faktörlü kimlik doğrulama atlatma teknikleri kullanarak kimlik bilgilerini ve iki faktörlü kimlik doğrulama (2FA) kodlarını hedef almışlardır.
Bu kampanya, AppSheet aracılığıyla büyük ölçekli phishing e-postaları göndermeyi mümkün kılıyor. Böylece, e-posta güvenlik savunmalarını aşarak SPF, DKIM ve DMARC gibi önlemlere takılmıyorlar. E-postalar, Facebook Destek‘ten geliyormuş gibi görünüyor ve kullanıcıları yanıtlamak zorunda oldukları sahte bağlantılara yönlendirmekte. Bu bağlantılar, kimlik bilgilerini çalmaya yönelik bir adam-arada (AitM) phishing sayfasına yönlendirmektedir.
"Buna ek olarak, saldırganlar her phishing e-posta için benzersiz kimlikler oluşturarak detection sistemlerini aşmayı hedeflemektedir," denmektedir. Polimorfik tanımlayıcıların varlığı, her mesajın görünümünü uyarlayarak, geleneksel tespit sistemlerinin statik göstergelere dayanan algılarını aşmalarını sağlamaktadır.
Siber Güvenlikte Alınacak Önlemler
Kullanıcıların, bu tür saldırılara karşı dikkatli olmaları ve güvenlik önlemlerini artırmaları gerekmektedir. Antivirüs yazılımlarının resmi web sitelerinden indirilmesi, şüpheli bağlantılara tıklamaktan kaçınmak ve kimlik bilgilerini paylaşmadan önce iki kat doğrulama yapılması büyük önem taşır. Ayrıca, e-posta gelen kutusundaki mesajların kaynağını kontrol etmek, özellikle hesap silme uyarıları gibi acil durumlar içeren mesajları dikkatlice incelemek gerekmektedir.
Modern siber tehditlere karşı etkili bir savunma için sürekli güncellenen güvenlik yazılımları kullanmak, bilgilendirilmiş olmak ve eğitim almak önem arz eder. Bu saldırıların artması, kişisel verilerin korunması gerekliliğini bir kez daha gün yüzüne çıkarmaktadır.
