Malvertising ve Yeni Tehdit: GPUGate
Son yıllarda siber saldırılar, malvertising (zararlı reklamcılık) yoluyla kullanıcıları hedef alarak hızla artış göstermektedir. Bu saldırılar, dikkatsiz kullanıcıların arama motorları üzerinden popüler yazılımları ararken, sahte reklamlara tıklamaları sonucunda zararlı yazılımlara maruz kalmalarına neden olmaktadır. Son araştırmalar, yeni bir malvertising kampanyasının, özellikle yazılım geliştirme ve BT şirketlerini hedef aldığını ortaya koymaktadır.
GitHub Üzerinden Hedefleme
Araştırmalar, saldırganların arama motorlarına ödenen reklamları kullanarak, kullanıcılara GitHub’un popüler altyapısının yanı sıra kötü niyetli bağlantılar sunulduğunu göstermektedir. Bu bağlantılar, görünüşte güvenilir bir platforma işaret etsede, gerçekte aldatıcı bir siteye yönlendirmektedir. Saldırganların kullandığı teknik, kullanıcıları sahte bir GitHub sayfasına yönlendirmektir ve bu sayfa üzerinden zararlı yazılımların indirilmesi sağlanmaktadır.
GPUGate Tekniği Nedir?
Bu yeni kampanyada dikkat çeken bir yöntem, “GPUGate” olarak adlandırılmaktadır. Saldırganlar, 128 MB büyüklüğünde Microsoft Software Installer (MSI) dosyasını kullanıyor. Bu dosyanın boyutu, var olan çevrimiçi güvenlik sistemlerinin çoğunu atlatmasına yardımcı olmaktadır. Ayrıca, GPU (Grafik İşlemci Birimi) yapılandırmasını kontrol ederek, yalnızca uygun sistemlerde etkili olmaktadır. GPU işlevlerinin kullanılması, zararlı yazılımın şifrelenmiş kalmasını sağlarken, eski analiz ortamlarında veya sanal makinelerde çalışmasını imkansız hale getirmektedir.
İşlem Aşamaları
Saldırı süreci, başta Visual Basic Script’in çalıştırılmasıyla başlamaktadır. Bu script, PowerShell script’ini başlatmakta ve ardından yöneticilik yetkileri ile çalışarak, Microsoft Defender’den bazı dosyaları hariç tutmakta ve sürekli olarak çalışmasını sağlamak için zamanlanmış görevler oluşturmaktadır. Son olarak, zararlı yazılımı içeren ZIP arşivinden dosyalar çıkartılmakta ve çalıştırılmaktadır.
Bu süreç, bilgi hırsızlığı yapmayı ve ikincil yüklerin, yani daha zararlı yazılımların kurulumunu sağlamayı hedeflemektedir. Yapılan analizler, saldırganların doğuştan Rusça bilen kişiler olduğunu göstermektedir, çünkü PowerShell script’inde Rusça yorumlar bulunmaktadır.
Çapraz Platform Tehditleri
Yapılan derinlemesine incelemeler, saldırganların kullandığı alan adının, Atomic macOS Stealer (AMOS) için bir hazırlık alanı olarak hizmet verdiğini göstermektedir. Bu, çapraz platform tehditlerinin artan önemine işaret etmektedir. Saldırganlar, GitHub komut yapısını istismar ederek, Google Ads üzerinden meşru yazılım depolarını taklit etmekte ve kullanıcıları zararlı yazılımlara yönlendirmektedir. Bu durum, hem kullanıcı denetimlerini aşmakta hem de son nokta savunmalarını geçmektedir.
Acronis ve Diğer Tehditler
Acronis, 2025 yılından itibaren sosyal mühendislik saldırılarıyla AsyncRAT, PureHVNC RAT ve özel PowerShell tabanlı uzaktan erişim trojanları (RAT) kullanan, trojanize ConnectWise ScreenConnect kampanyasının evrimini detaylandırmıştır. Saldırganlar artık, ClickOnce adlı bir yükleyici kullanarak, yapılandırma dosyası içermeyen bir yöntemle saldırılarını gerçekleştirmektedir. Bu durum, geleneksel statik tespit yöntemlerini etkisiz hale getirmekte ve savunmalar için daha az güvenilir seçenek bırakmaktadır.
Güvenliğinizi Sağlama Yöntemleri
Bu tür tehditlerin artmasıyla birlikte kullanıcıların dikkatli olması önem arz etmektedir. İlk olarak, güvenilir kaynaklardan yazılım indirmeye özen göstermek gerekmektedir. Ek olarak, antivirüs yazılımlarının güncel tutulması, şüpheli bağlantılara tıklanmaması ve oyun konsollarında dahi güvenlik önlemleri alınması elzemdir. Bilgisayardaki yazılımların ve sistemlerin düzenli olarak güncellenmesi, potansiyel tehlikeleri en aza indirmek için gereklidir.
Siber güvenlik alanındaki bu gelişmeler, kullanıcıların ve organizasyonların, siber tehditlere karşı daha dikkatli ve bilinçli olmalarını zorunlu kılmaktadır.
