Siber Güvenlik

Acil: Lumma Stealer ve Ninja Tarayıcı ile Google Grupları Tehdit Altında

teknomers
teknomers

Malware Saldırısının Özeti

Son dönemde CTM360 tarafından yapılan bir rapora göre, dünya genelindeki kuruluşları hedef alan aktif bir kötü amaçlı yazılım kampanyası, 4.000’den fazla zararlı Google Grubu ve 3.500 Google barındırmalı URL ile yürütülmektedir. Saldırganlar, Google’ın güvenilir ekosistemini kötüye kullanarak kimlik bilgisi çalan bir malware dağıtmakta ve ele geçirilen cihazlarda kalıcı erişim sağlamaktadır.

Contents

Saldırı Nasıl Çalışıyor?

Saldırı zinciri, Google Grupları içerisinde sosyal mühendislik ile başlamaktadır. Saldırganlar, sektöre dair forumlara sızarak sahte teknik tartışmalar yaparak güvenilirliği artırmakta ve yazılımların indirilmesini teşvik etmektedir. Bu ileti dizilerinde, saldırganlar indirme bağlantılarını “Windows 10 için {Kuruluş_Adı}’nı İndir” şeklinde gizlemektedir.

Algılamadan kaçınmak için, URL kısaltıcılar veya Google barındırmalı yönlendirme hizmetleri kullanarak kullanıcıların işletim sistemini belirlemekte ve hedefin Windows veya Linux kullanıp kullanmadığına göre farklı yükler sunmaktadır.

Etkilenen Sistemler

Windows Kullanıcıları için Saldırı Akışı: Lumma Info-Stealer

Windows kullanıcılarına yönelik kampanya, şifreli bir sıkıştırılmış arşiv sunar. Bu arşiv yaklaşık 950MB boyutundadır, ancak aslında zararlı yük yalnızca 33MB’dır. CTM360 araştırmacıları, yürütülebilir dosyanın, antivirüs dosya boyut tarama eşiklerini aşmak amacıyla boş baytlarla doldurulduğunu tespit etmiştir.

Yürütüldüğünde, malware aşağıdaki işlemleri gerçekleştirir:

  • Parçalı ikili dosyaları yeniden birleştirir.
  • AutoIt ile derlenmiş bir yürütülebilir dosyayı başlatır.
  • Bellekte bulunan bir yükü şifrelerini çözüp çalıştırır.

Bu davranış, kimlik bilgisi toplama kampanyalarında sıkça kullanılan  Lumma Stealer ‘a işaret etmektedir.

Gözlemlenen davranışlar arasında şunlar bulunmaktadır:

  • Tarayıcı kimlik bilgisi sızdırma.
  • Oturum çerezi toplama.
  • Shell tabanlı komut yürütme.
  • C2 altyapısına HTTP POST istekleri gönderme (örn. healgeni[.]live).
  • Sızdırılmış içeriği maskelemek için multipart/form-data POST istekleri kullanma.

Linux Kullanıcıları için Saldırı Akışı: Trojanize “Ninja Browser”

Linux kullanıcıları, “Ninja Browser” adında trojanize edilmiş bir Chromium tabanlı tarayıcıyı indirmeye yönlendirilmektedir. Yazılım, kullanıcıların mahremiyetine odaklandığını iddia ederken, aslında kullanıcı izni olmadan zararlı uzantılar yüklemekte ve gelecekteki saldırılar için gizli kalıcılık mekanizmaları uygulamaktadır.

Kötü niyetli uzantının davranışları:

  • Kullanıcıları benzersiz tanımlayıcılarla takip eder.
  • Web oturumlarına scriptler enjekte eder.
  • Uzaktan içerik yükler.
  • Tarayıcı sekmelerini ve çerezlerini manipüle eder.
  • Verileri dışarıda saklar.

Kampanya Altyapısı ve Tehdit Göstergeleri

CTM360, kampanyanın aşağıdaki gibi altyapılarıyla bağlantılı olduğunu belirlemiştir:

IP Adresleri:

  • 152.42.139[.]18
  • 89.111.170[.]100

C2 Domeyn:

Kimlik bilgisi toplama ve bilgi çalma dağıtımına bağlı çok sayıda SHA-256 hash ve alan adı tespit edilmiştir.

Kuruluşlar İçin Riskler

  • Lumma Stealer riskleri:
  • Ninja Browser riskleri:
  • Sessiz kimlik bilgisi toplama.
  • Uzaktan komut yürütme.
  • Açık kapı benzeri bir kalıcılık.
  • Kullanıcı rızası olmadan otomatik zararlı güncellemeler.

Saldırı, Google barındırılan hizmetlerden yararlandığı için geleneksel güvenlik filtreleme mekanizmalarını atlatabilmektedir.

Çözüm ve Korunma

CTM360, kuruluşlara aşağıdaki önerilerde bulunmaktadır:

  • Kısa URL’leri ve Google Docs/Drive yönlendirme zincirlerini inceleyin.
  • IoC’leri güvenlik duvarları ve EDR seviyesinde engelleyin.
  • Kullanıcıları, kamu forumlarından veya kaynaklardan yazılım indirmemeleri konusunda eğitin.
  • Uç noktalar üzerindeki zamanlanmış görevleri izleyin.
  • Tarayıcı uzantı yüklemelerini denetleyin.

Kampanya, saldırganların, güvenilir SaaS platformlarını tespit edilmekten kaçınmak için silahlandırmaya yönelik artan bir eğilimi gözler önüne sermektedir.

Sonuç

Bu makale, örgütlerin bu tür tehditlere karşı nasıl etkili bir şekilde korunacaklarına dair bilgi vermeyi amaçlamaktadır. Kuruluşlar, güvenlik yazılımlarını güncelleyerek, potansiyel tehditleri izleyerek ve bilinçlendirme eğitimi sağlayarak korunma önlemleri almalıdır. Kısa süre içinde eksik güvenlik önlemleri gözden geçirilmelidir.

Anubi Digital tarafından kripto çifti ile üretilen Merkezi Olmayan Finans
AMD Radeon Süper Çözünürlük şimdi sürücü güncellemesi ile kullanılabilir
FvncBot ve SeedSnatcher: Android’te Güçlenen Malware Tehditleri!
Hindistan’ın Kripto Bankacılığına İhtiyacı, Base için Yol Haritası: Coinbase’den Jessse Pollak ile Röportaj
Google aramaları sırasında zaman kazandıran bir uzantı
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Rivian’ın Kurtarıcısı Olacak Yeni Gelişmeler
Sonraki Makale function formatRupiah() fonksiyonu

Sanal Medya

Son Eklenenler

Yeni Assassin’s Creed Black Flag ile Edward Kenway’ı Yeniden Keşfedin
Oyun
Saldırılar, İfşa ve Fidye: 2026’nın En Kötü Veri İhlalleri
Genel
Sanal İşletim Sistemi Müzesi ile 600’den Fazla OS Deneyimleyin
Liste
Acil! C0XMO Botnet, DD-WRT Açığını Kullanarak Rakip Kötü Amaçlı Yazılımları Yok Ediyor
Siber Güvenlik
Savaş Alanında Hayatta Kalan Kuşlar: Optik Lif Yuvaları
Donanım
Yeni Ark Yapım Aracı ile Mod Oluşturma Artık Herkesin Erişiminde
Oyun