Giriş
Siber suç çetesi Black Cat, kullanıcıları popüler yazılımları yanlış yönlendiren dolandırıcılık siteleri aracılığıyla hedef alarak siber güvenlik tehditleri oluşturmaktadır. Bu tür saldırılar, mağdurların hassas verilerini çalmak için tasarlanmış arka kapı yazılımlarını dağıtmaktadır.
Saldırı Nasıl Çalışıyor?
Black Cat, kullanıcıların arama motorlarında popüler yazılımları ararken yanlış yönlendirilmiş sayfalara gitmelerini sağlamak üzere bir SEO zehirlenmesi kampanyası yürütmektedir. CNCERT/CC ve ThreatBook tarafından yayımlanan bir rapora göre, bu saldırılar özellikle Google Chrome , Notepad++ , QQ International ve iTools gibi uygulamaları arayan kullanıcıları hedef alıyor.
- Kullanıcılar, yüksek sıralamalara sahip sahte phishing sayfalarına yönlendirilmekte.
- Bunlar, kullanıcıları kötü niyetli yazılım paketlerini indirmeye ikna eden dikkatlice hazırlanmış indirme sayfalarıdır.
- Yüklenen yazılım, kullanıcının bilgisi olmadan bir arka kapı Trojanu’nu kurarak hassas verileri çalmaya olanak tanır.
Etkilenen Sistemler
Black Cat, en az 2022 yılından beri aktif olarak donanım ve yazılım saldırıları düzenlemektedir. 2023 yılında, AICoin isimli sanal para borsa platformunu taklit ederek en az 160,000 dolarlık kripto parayı çaldığı bildirilmiştir. Son saldırılarda, kullanıcılar Notepad++ ararken, sahte bir siteye yönlendirilmektedirler. Black Cat tarafından kayıtlı diğer alan adları arasında “cn-obsidian[.]com” , “cn-winscp[.]com” ve “notepadplusplus[.]cn” bulunmaktadır.
Malware/Yazılımın İşleyişi
Sahte web sitesinde bulunan “indirme” butonuna tıklayan kullanıcılar, GitHub’ı taklit eden bir URL’ye yönlendirilmektedirler. Bu URL’den bir ZIP arşivi indirilir; arşiv içinde bulunan yükleyici, kullanıcının masaüstünde bir kısayol oluşturur. Kısayol, kötü niyetli bir DLL dosyasının yüklenmesi için bir giriş noktası işlevi görmektedir.
- DLL dosyası çalıştığında, arka kapı veyazılımı devreye girer.
- Yazılım, hardcoded bir uzak sunucuya (sbido[.]com:2869) bağlanarak web tarayıcı verilerini, tuş vuruşlarını ve panodaki içerikleri çalar.
Çözüm ve Korunma
CNCERT/CC ve ThreatBook, Black Cat siber suç sendikasının, 7-20 Aralık 2025 tarihleri arasında Çin genelinde yaklaşık 277,800 cihazı etkilediğini belirtmiştir. Kullanıcılar, bilinmeyen kaynaklardan gelen bağlantılara tıklamamaya ve yazılımları güvenilir kaynaklardan indirmeye dikkat etmelidirler.
Aksiyon
Kullanıcıların alması gereken önlemler şunlardır:
- Yazılımlarınızı yalnızca resmi ve güvenilir kaynaklardan indirin.
- Güncel olmayan yazılım sürümlerini kullanmak yerine en son güncellemeleri yapın.
- Güvenlik yazılımları kullanarak sisteminizi sürekli tarayın ve şüpheli durumlara karşı dikkatli olun.
