Giriş
Cybersecurity araştırmacıları, StealC bilgi hırsızı için kullanılan web tabanlı kontrol panelinde belirlenen bir XSS (Cross-Site Scripting) açığını ifşa etti. Bu durum, kötü niyetli yazılımı kullanan tehdit aktörleri hakkında önemli bilgiler toplama fırsatı oluşturdu.
Saldırı Nasıl Çalışıyor?
Araştırmacılar, bu açığı kullanarak sistem parmak izleri topladı, aktif oturumları izledi ve kötü amaçlı yazılımın tasarlandığı altyapıdan çerezleri çalmayı başardı. CyberArk araştırmacısı, bu durumun tam anlamıyla bir sürpriz olmadığını ifade etti ve şu şekilde belirtti: “Bu açığı kullanarak, doğrusu çerezlerimizi kendimizden çalmayı başardık.”
StealC, Ocak 2023’te malware-as-a-service (MaaS) modeli altında ortaya çıkan bir bilgi hırsızı. Bu model, potansiyel müşterilerin, kötü niyetli programı popüler yazılımların crack’leri olarak gizleyerek dağıtmasını sağlıyor.
Etkilenen Sistemler
Son bir yıl içerisinde StealC, sahte Blender Foundation dosyaları ve FileFix adındaki sosyal mühendislik taktiğiyle yayılmakta gözlemlendi. StealC’in güncellenmiş sürümü olan StealC V2, Telegram bot entegrasyonu, geliştirilen payload iletimi ve yeniden tasarlanmış bir panel sundu. Geliştiricilerin kaynak kodunun sızması, tehdit aktörünün bilgisayarlarının genel konum göstergeleri ve donanım bilgileri hakkında bilgi edinmeye olanak sağladı.
XSS açığının tam detayları paylaşılmadı, bu da geliştiricilerin açığı kapatmasını veya diğerleri tarafından kullanılmasını engellemek amacı taşımaktadır.
Çözüm ve Korunma
XSS açıkları, bir saldırganın saldırıya uğrayan bir sitede kötü amaçlı JavaScript kodunu çalıştırmasını sağlıyor. Bu açıklar, kullanıcı girişi doğrulanmadığında ve doğru bir şekilde kodlanmadığında ortaya çıkıyor. Bu da çerezlerin çalınmasına ve hassas bilgilere erişime yol açıyor.
CyberArk, StealC geliştiricilerinin çerez hırsızlığı üzerine inşa edilen bir operasyon için temel güvenlik önlemleri almadığını belirterek, çerezleri korumak için httpOnly özelliklerinin kullanılmadığını ifade etti.
Aşağıdaki önlemleri alarak bu tür saldırılardan korunmak mümkündür:
- Sistemlerinizi güncel tutun ve yazılımlarınızı düzenli olarak kontrol edin.
- Güvenlik duvarı ve antivirüs yazılımlarınızı etkinleştirin.
- Web uygulamalarınızda kullanıcı girdilerini her zaman doğrulayın ve kodlayın.
- Şüpheli bağlantılardan kaçının ve güvenilir kaynaklardan indirilen yazılımlara dikkat edin.
Sonuç
Bu tür tehditlerle başa çıkmak için kullanıcıların sistemlerini güncellemeleri, portları kapatmaları ve güvenlik önlemlerini artırmaları hayati önem taşımaktadır. Unutulmamalıdır ki, tüm siber güvenlik önlemleri dikkatli ve aktif bir yaklaşım gerektirir.
