Tehlike Tanımı ve Önemi
Sahte bir 7-Zip web sitesi, kullanıcıların bilgisayarlarını konut proxy düğümüne dönüştüren kötü niyetli bir kurulum dosyasını dağıtıyor. Bu durum, kullanıcıların verilerini tehlikeye atan ve çeşitli kötü amaçlı aktiviteleri gerçekleştiren bir tehdit oluşturuyor.
Saldırı Nasıl Çalışıyor?
Kötü niyetli aktör, kullanıcıları gerçek 7-Zip projesine ait bir web sitesindeymiş gibi kandırarak 7zip[.]com alan adını kaydetti. Bu web sitesi, gerçek 7-zip.org sitesinin metin ve yapılandırmasını taklit ediyor.
Sahte kurulum dosyası, güvenlik şirketi Malwarebytes tarafından analiz edildi ve bu dosyanın, Jozeal Network Technology Co., Limited’e ait olan artık iptal edilmiş bir dijital sertifika ile imzalandığı belirlendi. Kötü amaçlı kopya aynı zamanda 7-Zip programını içeriyor, böylece yazılımın temel işlevlerini de sağlıyor. Ancak kurulum şunları indiriyor:
- Uphero.exe – hizmet yöneticisi ve güncelleme yükleyici
- hero.exe – ana proxy yükü
- hero.dll – destek kütüphanesi
Bu dosyalar, C:WindowsSysWOW64hero dizinine yerleştiriliyor ve iki kötü amaçlı yürütülebilir dosya için SYSTEM olarak çalışan bir otomatik başlangıç Windows hizmeti oluşturuluyor. Ayrıca, netsh kullanılarak güvenlik duvarı kuralları değiştiriliyor ve bu dosyaların içe ve dışa bağlantılar kurmasına izin veriliyor.
Etkilenen Sistemler
Kötü niyetli yazılım, Microsoft’un Windows Management Instrumentation (WMI) ve Windows API’lerini kullanarak ev sahibi sistemini profil çıkartıyor. İşlemci, bellek, disk ve ağ karakteristikleri hakkında toplanan veriler iplogger[.]org adresine gönderiliyor. Malwarebytes’a göre, “ilk göstergeler geri dönüş kapıları stilinde yetenekler önermiş olsa da, daha fazla analiz, kötü amaçlı yazılımın ana amacının proxy yazılımı olduğunu ortaya çıkardı.”
Kötü amaçlı yazılım, hero.exe aracılığıyla “smshero” temalı değiştirilmiş C2 alan adlarından yapılandırma bilgisi çekiyor ve ardından 1000 ve 1002 gibi standart olmayan bağlantı noktalarında dışa açık proxy bağlantıları açıyor. Kontrol mesajları, hafif bir XOR anahtarı kullanılarak obfuskasyona uğramaktadır.
Malwarebytes, kampanyanın 7-Zip çekiciliğinden daha büyük olduğunu ve HolaVPN, TikTok, WhatsApp ve Wire VPN gibi diğer yazılımlar için de kötü niyetli kurulum dosyaları kullandığını belirtiyor.
Çözüm ve Korunma
Kötü niyetli yazılım, hero/smshero alanları etrafında dönen bir C2 altyapısı kullanıyor ve trafiği Cloudflare altyapısı üzerinden TLS şifreli HTTPS ile geçiriliyor. Ayrıca, DNS trafiğini gözlemleyen savunmacıların görünürlüğünü azaltmak için Google’ın çözümleyicisi aracılığıyla DNS-over-HTTPS kullanıyor.
Kullanıcıların sanallaştırma platformları (VMware, VirtualBox, QEMU, Parallels) veya hata ayıklayıcılar varlığını kontrol eden kötü niyetli yazılım, analiz edilip edilmediğini belirlemek için çeşitli yöntemler kullanıyor.
Malwarebytes, kullanıcıların YouTube videolarından veya tanıtılan arama sonuçlarından gelen URL’lere tıklamaktan kaçınmalarını ve sık kullandıkları yazılımlar için indirme portalı alan adlarını yerleştirmelerini öneriyor.
Sonuç
Kullanıcılar, bu tür sahte yazılımlardan etkilenmemek için tüm yazılımlarını güncel tutmalı ve bilindik olmayan kaynaklardan indirme yapmaktan kaçınmalıdır. Hızla güncelleme yapın, var olan güvenlik duvarı kurallarınızı kontrol edin ve şüpheli bağlantıları kapatın.
