Giriş
Microsoft, arama motoru optimizasyonu (SEO) teknikleri kullanarak dağıtılan sahte sanal özel ağ (VPN) istemcileri ile kimlik bilgisi çalma kampanyasına dair detayları açıkladı. Bu olay, internet güvenirliğinin nasıl istismar edildiğini ve siber güvenlik risklerini gözler önüne seriyor.
Saldırı Nasıl Çalışıyor?
Bu kampanya, kullanıcıların meşru kurumsal yazılımlar ararken saldırganların kontrolündeki kötü niyetli ZIP dosyalarına yönlenmesine neden olur. Microsoft’un Tehdit İstihbarat ve Microsoft Defender Uzmanları, bunu şu şekilde tanımladı:
- Kampanya, kullanıcıları meşru yazılımlar ararken şüpheli sitelere yönlendiriyor.
- Saldırıda dağıtılan trojanlar, meşru VPN istemcileri gibi görünüyor.
- Amaç, VPN kimlik bilgilerini toplamak.
Saldırı, ilk olarak Ocak 2026’da gözlemlendi ve bu etkinlik dairesinin Storm-2561 adındaki bir tehdit grubuna atfedildi. Bu grup, SEO zehirlenmesi ile kötü amaçlı yazılımları yayma konusunda biliniyor.
Etkilenen Sistemler
Bu saldırı, özellikle şu yazılımları hedef aldı:
- SonicWall
- Hanwha Vision
- Pulse Secure (şimdi Ivanti Secure Access)
Saldırganlar, kullanıcıları arama motoru sonuçlarından kandırarak sahte web sitelerine yönlendiriyor ve kullanıcıların MSI yükleyicilerini indirmesini sağlıyor.
Çözüm ve Korunma
Microsoft, saldırıların meşru şemalar ve yazılım markası üzerinden sosyal mühendislik taktikleri ile gerçekleştirildiğini belirtti. Özellikle, yükleyici dosyaların barındırılmasında güvenilir platformların (örneğin GitHub) istismar edildiği ifade ediliyor.
- Kullanıcıların sahte bir VPN giriş penceresi ile karşılaşmaları durumunda, yanlış bilgiler girmeleri teşvik ediliyor.
- Yazılımcıların, yükleme sırasında kötü amaçlı DLL dosyalarını yan yükleyerek verileri çalmaya çalıştığı belirtildi.
Microsoft, sahte yükleyicilere karşı resmi sertifikayı iptal etti ve saldırganların kontrolündeki GitHub hesaplarını kapattı. Ancak bu tür saldırılara karşı kullanıcıların dikkatli olmaları ve aşağıdaki önlemleri almaları öneriliyor:
- Çok faktörlü kimlik doğrulama (MFA) uygulamak.
- Yazılım indirirken dikkatli olmak ve sitenin doğruluğunu kontrol etmek.
Sonuç
Kullanıcılar, bu tür saldırılara maruz kalmamak için yazılım güncellemelerini takip etmeli ve potansiyel olarak tehlikeli kaynaklardan uzak durmalıdır. Ayrıca, VPN istemcisi gibi kritik yazılımlar için yalnızca resmi ve güvenilir web sitelerinden indirme yapmaları önemlidir.
