Bumblebee Malware ve SEO Zehirlenmesi
Siber güvenlik dünyasında önemli bir haber, Bumblebee malware adı verilen bir yazılımın, özellikle IT personelinin kullandığı araçları hedef alarak cihazları enfekte etmek amacıyla gerçekleştirdiği SEO zehirlenmesi kampanyasıdır. Bu kampanya, zararlı yazılımı yaymak için yaygın olarak bilinen bazı açık kaynak projelerinin kimlik taklidi yapan typosquatting alan isimlerini kullanmaktadır.
BleepingComputer tarafından yapılan incelemelerde, Zenmap ve WinMTR gibi tanınmış araçların kötüye kullanıldığı iki örnek tespit edilmiştir. Zenmap, Nmap ağ tarama aracının grafik kullanıcı arayüzüdür. WinMTR ise bir traceroute aracıdır. Her iki araç da IT personeli tarafından ağ trafiğini analiz etmek ve tanı koymak için sıkça kullanılır. Bu bakımdan, bu araçların kullanıcıları, siber saldırganların hedeflediği önemli kişiler haline gelir.
Bumblebee Yükleyici ve Zararlı İndirmeler
Bumblebee malware yükleyicisi, zenmap[.]pro ve winmtr[.]org gibi iki alan adı aracılığıyla yayılmaktadır. WinMTR şu an çevrimdışı olsa da, zenmap[.]pro hala çevrimiçi durumdadır. Bu siteye doğrudan erişim sağlandığında, sahte bir Zenmap blog sayfası gösterilmektedir, ancak arama sonuçlarından yönlendirilme yapıldığında, gerçek Nmap aracının klonlanmış bir sitesi görüntülenmektedir.
Bu sahte siteler, SEO zehirlenmesi aracılığıyla yüksek düzeyde trafik almakta ve Google ile Bing arama sonuçlarında üst sıralarda yer almaktadır. BleepingComputer‘ın testleri, sahte Zenmap sitesi doğrudan ziyaret edildiğinde, çeşitli yapay zeka destekli makalelerin yüklendiğini göstermektedir.
İndirilen dosyalar arasında ‘zenmap-7.97.msi’ ve ‘WinMTR.msi’ yer almakta, ve bu dosyalar çoğu antivirüs motoru tarafından tespit edilmemektedir. Bu yükleyiciler, vaat edilen uygulamanın yanı sıra zararlı bir DLL dosyası da içermektedir. Bu durum, kullanıcıların cihazlarına Bumblebee yükleyicisinin sızmasına neden olabilmektedir.
Zararlı Yazılımın Yayılma Yöntemleri
Bumblebee malware, kurbanların profillemesini sağlayarak ek zararlı yazılımların yüklenmesine zemin hazırlamaktadır. Bu ek yazılımlar arasında bilgi hırsızları, fidye yazılımları ve diğer çeşitli zararlı yazılımlar yer alabilir. BleepingComputer ayrıca, bu kampanyanın yalnızca bahsedilen açık kaynak araçlarıyla sınırlı olmadığını, aynı zamanda Hanwha güvenlik kameraları yönetim yazılımı olan WisenetViewer gibi yazılımları da hedef aldığını rapor etmiştir.
Siber güvenlik araştırmacısı Joe Wrieden, aynı kampanyanın parçası olan Milestone XProtect video yönetim yazılımının trojanize edilmiş bir versiyonunu da tespit etmiştir. Bu kötü amaçlı yükleyiciler, milestonesys[.]org alan adı üzerinden dağıtılmaktadır.
Resmi RVTools Hâlâ Çevrimdışı
Resmi RVTools alan adları olan Robware.net ve RVTools.com, kullanıcıları resmi olmayan sitelerden yazılım indirmemeleri konusunda uyaran bir uyarı mesajı göstermekte, ancak kendileri herhangi bir indirme bağlantısı sunmamaktadır. Dell Technologies, resmi RVTools sitesinin kötü amaçlı bir yükleyici dağıttığına dair iddiaları reddederek, kendi sitelerinin Dağıtılmış Servis Reddi (DDoS) saldırılarına maruz kaldığını açıklamıştır.
Bu saldırıların arkasındaki nedeni, Bumblebee’nin arkasındaki tehdit aktörünün resmi indirme portallarını kapatarak, kullanıcıları kötü niyetli sitelere yönlendirmek isteği olarak yorumlamak mümkündür.
Trojanize Edilmiş Yazılımlardan Korunma Yöntemleri
Trojanize edilmiş yazılımların kurulum riskini azaltmak için en iyi öneri, yazılımları yalnızca resmi kaynaklardan ve paket yöneticilerinden indirmektir. Ayrıca, indirilen yükleyicinin hash’inin bilinen, temiz bir versiyonla kontrol edilmesi de önemlidir.
Sonuç olarak, siber güvenlik alanında attığımız her adım ve kullanma şeklimiz, bize büyük doğrulukta tehditler karşısında korunma sağlamak için kritik öneme sahiptir. Kullanıcıların bilinçli davranması, bu tür tehlikelerden korunmalarını büyük ölçüde kolaylaştıracaktır.
