2025 Yılındaki Siber Tehditler: Brezilya’daki Yeni Malware Kampanyası
2025 yılı, siber güvenlik alanında birçok yeni problemi beraberinde getirirken, özellikle Brezilya kullanıcılarını hedef alan yeni bir malware kampanyası dikkat çekiyor. Bu kampanya, kullanıcıların Chromium tabanlı web tarayıcılarına yönelik kötü niyetli bir eklenti ile kimlik bilgilerini çalmayı amaçlıyor.
Phishing E-postaları ile Başlayan Saldırılar
Saldırılar, genelde fatura biçiminde hazırlanan phishing e-postaları ile başlıyor. Bu e-postalar, kurbanları kötü niyetli bir dosya indirmeye yönlendiriyor. E-postalardaki bağlantılara tıklayan kullanıcılar, bir arşiv içinde saklanan ve içerdiği batch script sayesinde bir PowerShell betiği indirmeye zorlanıyor.
Bu PowerShell betiği, kurbanın sisteminin sanal bir ortamda çalışıp çalışmadığını kontrol ediyor ve "Diebold Warsaw" adlı yazılımın olup olmadığını tespit ediyor. Diebold Warsaw, Brezilya’da bankacılık ve e-ticaret işlemleri için güvenlik sağlayan bir eklenti olarak biliniyor. Benzer özelliklere sahip Latin Amerika kökenli bankacılık truva atları da bulunuyor.
PowerShell Betiğinin İşlevleri
PowerShell betiği, sistemde Kullanıcı Hesabı Denetimi (UAC)‘yi devre dışı bırakmanın yanı sıra, başlangıçta otomatik olarak çalışacak şekilde kendisini persistans sağlıyor. Bunun dışında, uzaktan bir sunucuya bağlanarak daha fazla komut almak için hazır bekliyor.
Bu komutların bazıları şunlardır:
- PING: Sunucuya bir kalp atışı mesajı gönderir
- DISCONNECT: Mevcut betiğin çalışmasını durdurur
- REMOVEKL: Betiği kaldırır
- CHECAEXT: Tarayıcıda kötü niyetli bir eklentinin bulunup bulunmadığını kontrol eder
- START_SCREEN: Tarayıcıda eklentiyi yükleyerek kullanıcının etkileşim olmadan bu eklentinin yüklenmesini sağlar
Tarayıcıda tespit edilen eklentiler, kısa sürede Chrome Web Store‘dan kaldırılmıştır.
Alternatif Saldırı Yöntemleri
Bu kampanya sadece bir türle sınırlı kalmıyor. Başka saldırı zincirleri, mevcut batch script dosyasını ve Windows Installer veya Inno Setup kurulum dosyalarını kullanarak kurbanlara kötü niyetli eklentiler dağıtmayı hedefliyor. Positive Technologies’in belirttiğine göre, bu eklentiler aktif tarayıcı sekmesi Banco do Brasil ile ilişkili olduğunda kötü niyetli JavaScript kodu çalıştırabiliyor.
Özellikle, kullanıcının kimlik doğrulama token’ini çalarak, saldırganların sunucusuna bilgi gönderebiliyor. Kullanıcılar, bankalarının web sayfasında sahte içerik veya kötü niyetli QR kodları ile karşılaşabilir.
Brezilya’daki Kullanıcılar Üzerindeki Etki
Bu yeni kampanya, saldırganların kurumsal kullanıcıları hedef alarak, onlara ait e-posta hesaplarını kullanarak daha fazla kullanıcıya ulaşmayı amaçladığını gösteriyor. Positive Technologies, saldırganların yan kuruluşlarına ait açık dizinlerdeki dosyaların, e-postalarının kurumsal hesaplar üzerinden gönderilmesine olanak tanıdığını belirtiyor. Ancak hedef hâlâ normal Brezilyalı kullanıcılar üzerindedir.
Saldırganların amacı, kurbanların banka hesaplarındaki kimlik bilgilerini çalmaktır. Bu tür saldırılar, kullanıcıların çevrimiçi güvenliklerine ciddi tehditler oluşturmakta ve bireylerin özel bilgilerinin kötüye kullanılma riskini artırmaktadır.
Bilinçli Olmanın Önemi
Brezilya’daki bu durumu göz önünde bulundurduğumuzda, bireylerin çevrimiçi güvenlik konusunda daha dikkatli olmalarının önemi ortaya çıkıyor. Phishing e-postalarına karşı dikkatli olmak, bilinçli bir şekilde internet dolaşımı yapmak ve şüpheli bağlantılardan kaçınmak, bu tür tehditlere karşı alınabilecek en etkili önlemler arasında yer alıyor.
Kullanıcıların, sistemlerini güncel tutmaları ve güvenlik yazılımlarını aktif şekilde kullanmaları, bu tür saldırılara maruz kalma ihtimallerini azaltmada büyük rol oynamaktadır. Unutulmamalıdır ki, siber güvenlikte en iyi savunma, bilgi ve bilinç düzeyidir.
Brezilya’daki yeni malware kampanyası, kullanıcıları ve şirketleri ciddi risklerle karşı karşıya bırakmaktadır. Bilinçli adımlar atarak bu gibi saldırılara hazırlıklı olmak, her bireyin sorumluluğu olmalıdır.
