Giriş
2026 yılının Ocak ayından bu yana, ABD merkezli bireyleri hedef alan büyük ölçekli bir kötü amaçlı reklam (malvertising) kampanyası gözlemlenmektedir. Bu kampanya, vergi belgeleri arayan kullanıcıları dolandırmak amacıyla sahte yükleyiciler sunarak önemli siber güvenlik tehditleri oluşturmuştur.
Saldırı Nasıl Çalışıyor?
Kampanya, kullanıcıların Google gibi arama motorlarında “W2 vergi formu” veya “W-9 Vergi Formları 2026” gibi terimleri aramasıyla başlıyor. Kullanıcılar, gerçek olmayan web sitelerine yönlendirilerek, ConnectWise ScreenConnect yükleyicilerini indiriyorlar. Bu yükleyiciler, HwAudKiller adlı bir aracı bilgisayara yükleyerek güvenlik programlarını etkisiz hale getiriyor.
Huntress araştırmacısı Anna Pham, “Kampanya, Google Ads üzerinden sahte ScreenConnect (ConnectWise Control) yükleyicileri sunarak, öncelikle bir BYOVD EDR öldürücüsü dağıtır” şeklinde bilgi veriyor. Araştırmalar, bu kampanyaya bağlı olarak 60’tan fazla kötü amaçlı ScreenConnect oturumu tespit edildiğini gösteriyor.
Etkilenen Sistemler
Saldırı, Microsoft Defender , Kaspersky , ve SentinelOne gibi güvenlik çözümlerinin süreçlerini hedef almaktadır. Kullanıcılar, sahte web sitelerine yönlendirilirken, bu sitelerin güvenlik tarayıcıları tarafından tespit edilmemesi amacıyla Adspect gibi ticari cloaking hizmetleri kullanılıyor. Ayrıca saldırganlar, ek olarak FleetDeck Agent gibi uzaktan yönetim araçları da yükleyerek kalıcı erişim sağlıyor.
Çözüm ve Korunma
Bu tür saldırılardan korunmak için kullanıcıların alması gereken önlemler şunlardır:
- Sistem yazılımlarını düzenli olarak güncelleyin.
- Güvenlik yazılımlarını sürekli aktif tutun ve tarama yapın.
- Güvenilir olmayan kaynaklardan yazılım indirmemeye dikkat edin.
- Port kapanışlarına dikkat edin ve gereksiz portları kapatın.
Sonuç olarak, kullanıcılar ve kuruluşlar, bu tür tehditlere karşı hazırlıklı olmalı ve gerekli güvenlik önlemlerini almalıdır. Özellikle yanlış yönlendirme ve kötü amaçlı yazılımlara karşı dikkatli olmaları büyük önem taşımaktadır.
