Kötü niyetli yazılımcılar, Google Reklamlarını ve Claude.ai üzerindeki meşru paylaşılan sohbetleri kötüye kullanarak aktif bir kötü amaçlı reklam kampanyası yürütüyorlar. Kullanıcılar “Claude mac download” araması yaptıklarında, meşru görünen arama sonuçları aracılığıyla kötü amaçlı yazılımlar yükleyen talimatlarla karşılaşabiliyorlar.

Saldırı Nasıl Çalışıyor?

Bu kampanya, Trendyol Grubu’ndan güvenlik mühendisi Berk Albayrak tarafından keşfedildi ve LinkedIn üzerinden paylaşıldı. Albayrak, “Claude Code on Mac” kurulum kılavuzu olarak kendini tanıtan ve “Apple Support” adıyla atfedilen bir Claude.ai sohbetini tespit etti.

Sohbet, kullanıcıları Terminal’i açmaya ve bir komut yapıştırmaya yönlendiriyor. Bu işlem, kullanıcıların Mac’lerine gizlice kötü amaçlı yazılım indirip çalıştırmalarına neden oluyor. BleepingComputer, Albayrak’ın bulgularını doğrulamak için farklı bir paylaşılan Claude sohbetine erişti ve bu sohbette de benzer bir saldırının yapıldığını обнаружил.

Her iki sohbet de benzer bir yapı ve sosyal mühendislik yaklaşımına sahip fakat farklı alan adları ve payload’lar kullanıyor. Her iki sohbet de yazının yazıldığı dönemde kamuya açık durumdaydı.

Etkilenen Sistemler

Bu saldırı, yalnızca macOS kullanıcılarını hedefliyor. Claude sohbeti aracılığıyla aşağıda belirtilen iki URL’den kötü amaçlı bir yük indiriliyor:

• Albayrak tarafından görülen bir varyant: VirusTotal: hxxp://customroofingcontractors[.]com/curl/b42a0ed9d1ecb72e42d6034502c304845d98805481d99cea4e259359f9ab206e
• BleepingComputer tarafından görülen başka bir varyant: VirusTotal: hxxps://bernasibutuwqu2[.]com/debug/loader.sh?build=a39427f9d5bfda11277f1a58c89b7c2d

Indirilen ‘loader.sh’, tamamen bellek üzerinde çalışarak, disk üzerinde belirgin bir iz bırakmıyor.

Maldware’nin Zararları

İlk aşamada yüklenen script, kurbanın IP adresini, ana bilgisayar adını, işletim sistemi versiyonunu ve klavye dilini toplayarak bunu saldırganın sunucusuna geri gönderiyor. Bu tür bir profil oluşturma, hedeflerin seçici bir şekilde belirlenmesine yönelik bir strateji olduğunu gösteriyor.

Script daha sonra ikinci aşama yükünü indirip çalıştırıyor. Bu aşamada saldırgan, sistemde uzaktan kod yürütme yeteneğine sahip oluyor ve hiçbir geleneksel uygulama ya da ikili dosya bırakmıyor. Albayrak’ın tespit ettiği varyant, daha hızlı bir yaklaşım sergiliyor ve doğrudan yürütmeye geçiyor.

Çözüm ve Korunma

Kötü amaçlı reklamlar, kötü amaçlı yazılımların dağıtımında kullanılan sürekli bir araç haline geldi. Bu kampanya, sahte bir alan adı kullanmıyor; çünkü her iki Google reklamı da claude.ai gibi meşru bir domaine yönlendiriyor. Kullanıcıların burada zararlı talimatların yer aldığı Claude’ın kendi sohbet özelliği içinde yönlendirildiği ortaya çıkıyor.

Kullanıcılar, uygulamayı indirmek için doğrudan claude.ai’a gitmelidir. Ayrıca, terminal komutları yapıştırma talimatlarının geldiği yerin güvenilir olup olmadığını her zaman sorgulamak iyi bir uygulamadır.

Öneriler

Okuyucuların alması gereken önlemler şunlardır:

• Uygulama güncellemelerini kontrol edin.
• Güvenilir olmayan kaynaklardan gelen bağlantılara tıklamaktan kaçının.
• Terminal veya komut istemcisine herhangi bir komut yapıştırmadan önce, talimatların doğruluğunu kontrol edin.

Kötü amaçlı yazılımlara karşı dikkatli olmak ve güvenlik önlemlerine riayet etmek, sisteminizin güvenliğini sağlamak adına elzemdir.

Son dönemde Meta’nın reklam platformlarında ortaya çıkan, Brokewell adlı zararlı yazılımın yayılmasına neden olan sahte duyurular dikkat çekiyor. Bu kampanya, kullanıcıları ücretsiz TradingView Premium uygulaması ile kandırmayı amaçlayarak, Android kullanıcılarını hedef alıyor. Araştırmalara göre, bu kampanya en az 22 Temmuz 2024‘ten beri devam ediyor ve şu an itibarıyla yaklaşık 75 yerelleştirilmiş reklam ile karşı karşıyayız.

Brokewell Malyazılımı Nedir?

Brokewell, 2024 yılının başlarında ortaya çıkan ve kriminal amaçlar için geliştirilmiş bir yazılımdır. Bu zararlı yazılım, duyarlı verileri çalma, uzaktan izleme ve cihazı kontrol etme gibi birçok yeteneğe sahip. Kullanıcıların mobil cihazlarını ele geçirme amacı güden Brokewell, pek çok farklı yöntemi bir arada kullanarak, kullanıcıların bilgilerini tehlikeye atıyor.

Duvardaki Tehlike: Sahte Reklamlar

Bitdefender adlı siber güvenlik şirketinin araştırmacıları, bu zararlı kampanyanın sunduğu reklamları inceledi. Duyurular, TradingView markası ve görsellerini kullanarak, kullanıcıları sahte bir uygulama ile tuzağa düşürmeyi amaçlıyor. Bu kampanyanın mobil cihazlar için özel olarak hazırlandığı, eğer kullanıcı farklı bir işletim sisteminden reklama tıklarsa, masum içeriklerle karşılaşacağı bildiriliyor. Ancak Android cihazlarından tıklama yapıldığında, sahte bir TradingView sitesine yönlendiriliyorlar.

İndirme ve Kurulum Süreci

Araştırmalar, kullanıcıların zararlı yazılımı indirmek üzere yönlendirildiği sayfanın, tradiwiw[.]online/ adresinde barındırılan kötü amaçlı bir tw-update.apk dosyası içerdiğini gösteriyor. Kullanıcı, indirme işlemi sırasında uygulamanın erişim izni istemesi ile karşılaşıyor. İzin alındıktan sonra ekran, sahte bir güncelleme vaadi ile kaplanıyor ve uygulama arka planda gerekli izinleri alıyor.

Bunun yanı sıra, sahte uygulama, Android kilit şifresi simüle ederek kullanıcıların cihaz kilit kodlarını çalmayı hedefliyor. Bu tehdit, kullanıcıların dikkatini dağıtarak, gizlice bilgilerini toplamaya yönelik daha fazla fırsat sunuyor.

Brokewell’in Yetkinlikleri

Bitdefender, sahte TradingView uygulamasının, “gelişmiş Brokewell zararlı yazılımı” olduğunu ve aşağıdaki gibi birçok yetenekle donatıldığını belirtiyor:

• Kripto para analizleri için BTC, ETH, USDT ve banka hesaplardaki numaraları (IBAN) tarar.
• Google Authenticator‘dan kodları çalarak, iki aşamalı doğrulamayı geçer.
• Kullanıcının giriş bilgilerini çalmak için sahte giriş ekranları overlay eder.
• Ekran ve tuş vuruşlarını kaydeder, çerezleri çalar, kamera ve mikrofonu aktif hale getirir ve konum takibi yapar.
• Varsayılan SMS uygulamasını ele geçirerek, bankacılık ile ilgili mesajları, iki aşamalı doğrulama kodlarınıIntercept eder.
• Uzaktan kontrol yeteneğine sahiptir; Tor veya Websocket üzerinden komut alarak, mesaj gönderme, arama yapma, uygulama kaldırma veya kendini yok etme işlemlerini gerçekleştirebilir.

Benzer Operasyonlar ve Uzun Vadeli Tehditler

Bu kampanya, daha büyük bir operasyonun parçası olarak görünmektedir. Başlangıç aşamasında Facebook reklamları kullanarak, “onlarca tanınmış markayı” taklit eden kampanyalar ile Windows kullanıcılarını hedef alıyorlardı. Bu da, bu tür saldırıların sadece mobil platformlarla kısıtlı kalmadığını gösteriyor.

Önlem Almanın Önemi

Kullanıcıların bu tür tehditlere karşı dikkatli olması kritik önem taşımaktadır. Kendi bilgilerinizi korumak için, güvenilir kaynaklardan uygulama indirmeli ve şüpheli bağlantılara tıklamaktan kaçınmalısınız. Ayrıca, iki aşamalı doğrulama gibi ek güvenlik önlemlerini aktif hale getirerek, hesaplarınızı daha güvende tutabilirsiniz.

Android platformu için geliştirilen bu tür kötü yazılımlar, eğer gerekli önlemler alınmazsa, ciddi güvenlik problemlerine yol açabilir. Kullanıcıların farkında olarak bu tehditlere karşı duyarlı olmaları ve gerektiğinde profesyonel yardım almayı düşürmeleri büyük önem arz etmektedir.

Siber dünyada, öngörü ile hareket etmek, karşılaşabileceğimiz sorunların önüne geçmek açısından çok kritik bir strateji olacaktır. Unutulmamalıdır ki, bilgi güvenliği, bireysel kabiliyetimizin ötesinde bir sorumluluğa dönüşmektedir.

Güncel Siber Güvenlik Haberleri – 2

Son zamanlarda siber güvenlik uzmanları, daha önce görülmemiş bir Android uzaktan erişim trojanı (RAT) olan PlayPraetor‘u keşfettiler. Bu malware, özellikle Portekiz, İspanya, Fransa, Fas, Peru ve Hong Kong gibi ülkelerde 11.000’den fazla cihazı enfekte etti. Cleafy araştırmacıları Simone Mattia, Alessandro Strino ve Federico Valentini’nin analizine göre, botnet hızlı bir şekilde büyüyerek haftada 2.000’den fazla yeni enfeksiyon ekleniyor. Bu durum, İspanyol ve Fransız konuşan gruplara yönelik agresif kampanyaların artmasıyla ilgilidir. Bu da, malware’in önceki hedef kitlelerinden farklı bir stratejik kaymaya işaret etmektedir.

PlayPraetor’ın Özellikleri

PlayPraetor, Çin merkezli bir komuta ve kontrol (C2) paneli tarafından yönetiliyor. Bu malware, diğer Android trojanlarından önemli ölçüde farklılık gösteriyor. Erişim hizmetlerini kötüye kullanarak uzaktan kontrol sağlıyor ve neredeyse 200 bankacılık uygulamasıyla kripto para cüzdanlarının üzerini kaplayarak sahte giriş ekranları sunuyor. Böylece, kurbanların hesaplarını ele geçirmeye çalışıyor.

CTM360 tarafından Mart 2025’te ilk kez belgelenen PlayPraetor, sahte Google Play Store indirme sayfaları kullanarak büyük ölçekli bir dolandırıcılık kampanyasını yürütmekte. Bu kampanya, kullanıcıların bankacılık bilgilerini toplamakta ve panoya yapılan işlemleri takip etmekte. Dolandırıcılar, kullanıcıları bu sahte sayfalara yönlendirmek için Meta Ads ve SMS mesajları kullanıyor.

PlayPraetor’ın Çeşitleri ve Faaliyetleri

PlayPraetor, dünya genelinde phối hợp edilen bir operasyon olarak beş farklı varyantta karşımıza çıkıyor. Bu varyantlar arasında:

1. Deceptive Progressive Web Apps (PWAs): Kullanıcılara sahte uygulamalar sunan bu varyant, kullanıcıların veri çalmasına olanak tanıyor.
2. WebView Tabanlı Uygulamalar (Phish): Dolandırıcılık amacıyla tasarlanmış uygulamalar.
3. Erişim Hizmetlerini Kötüye Kullananlar (Phantom): Kalıcı hale gelmek için erişim hizmetlerini kullanıyor.
4. Davet Kodu Tabanlı Dolandırıcılık (Veil): Kullanıcıları yanıltarak sahte ürünler satın almaya zorluyor.
5. Full Remote Control (EagleSpy ve SpyNote): Cihaz üzerinde tam kontrol sağlıyor.

Cleafy’ye göre, PlayPraetor’ın Phantom varyantı yerinde dolandırıcılık faaliyetlerine (ODF) olanak tanıyor ve iki ana operatör, botnet’in %60’ını kontrol ediyor. Bu operatörler, yaklaşık 4,500 ele geçirilmiş cihaz üzerinde odaklanıyor.

Bilinçli Kullanıcıların Önemi

Yatırım ve mali işlemler yapmakta olan kullanıcıların, PlayPraetor tarzı zararlılara karşı dikkatli olmaları büyük önem taşıyor. Kullanıcıların, yalnızca resmi uygulama mağazalarından uygulama indirmeleri ve gelen SMS veya linklere dikkatlice yaklaşmaları önerilmektedir. Dolandırıcılıkların çoğu, kullanıcıları sahte linklere yönlendirme stratejileriyle gerçekleştiriliyor.

Güvenlik önlemleri almak, kullanıcıların bu tür saldırılara karşı kendilerini koruma şansını artırıyor. Özellikle, uygulama izinleri dikkatle incelenmeli ve yalnızca gerekli olan izinler verilmelidir. Aksi takdirde, zararlı yazılımlar cihaza yerleşerek gizli bilgilere ulaşabilir.

Gelişen Tehditler: ToxicPanda ve DoubleTrouble

PlayPraetor’ın yanı sıra, ToxicPanda ve DoubleTrouble gibi başka zararlılar da ortaya çıkıyor. ToxicPanda, 3,000 civarında Android cihazı etkileyerek özellikle Portekiz‘de aktif durumda. Bu malware, kullanıcıları, sahte Google Chrome güncellemesi gibi yöntemlerle tuzağa düşürüyor.

Öte yandan DoubleTrouble, cihaz ekranını kaydetme, tuş kaydı yapma ve çeşitli komutları uygulama yeteneğiyle dikkat çekiyor. Her iki malware de Android’in erişim hizmetlerini kötüye kullanarak dolandırıcılık faaliyetleri gerçekleştirmekte.

Bu tür zararlılar karşısında, bilinçli bir kullanıcı olmanın ne kadar önemli olduğu bir kez daha ortaya çıkıyor. Kullanıcıların, cihazlarını koruma konusunda daha dikkatli olmaları ve gerekli güvenlik önlemlerini almaları büyük önem taşıyor.

Güncel Siber Güvenlik Haberleri – 1

Siber güvenlik ne anlama geliyor?
Siber tehditler nelerdir?
Siber güvenlik önlemleri neler olmalıdır?
Siber dolandırıcılık nasıl tespit edilir?
Siber güvenlik eğitimlerinin önemi nedir?

Siber güvenlik ne anlama geliyor?

Siber güvenlik, bilgisayar sistemleri, ağlar ve verilerin kötü niyetli saldırılara, hasara veya yetkisiz erişime karşı korunması anlamına gelir. Günümüz dijital dünyasında, siber güvenlik, bireylerin, işletmelerin ve devletlerin önemli bilgilerini korumak için kritik bir öneme sahiptir. İnternetin yaygınlaşmasıyla birlikte, siber saldırıların çeşitliliği ve sıklığı da artmıştır. Bu nedenle, güçlü bir siber güvenlik stratejisi oluşturmak, her geçen gün daha da önemli hale gelmektedir.

Siber tehditler nelerdir?

Siber tehditler çeşitli şekillerde ortaya çıkabilir. Bunlar arasında malware, spam, phishing ve DDoS saldırıları bulunur.

• Malware (kötü amaçlı yazılım), bilgisayar sistemlerine zarar vermek veya bilgi çalmak amacıyla tasarlanmış yazılımlardır.
• Phishing (oltalama) saldırıları, kullanıcıların gizli bilgilerini (şifreler, kredi kartı numaraları vb.) elde etmek için sahte e-postalar veya web siteleri kullanır.
• DDoS (Dağıtık Hizmet Reddi) saldırıları, bir bilgisayarın veya servisin işlevselliğini engellemek için saldırganların birçok bilgisayarı aynı anda kullanarak hedef almasıdır.

Bu tehditler, hem bireylere hem de organizasyonlara büyük kayıplara yol açabilir.

Siber güvenlik önlemleri neler olmalıdır?

Siber güvenliğin sağlanması için çeşitli önlemler alınmalıdır. Bunlar arasında:

• Güçlü parolalar kullanmak. Kullanıcıların sıkça değiştirdiği ve karmaşık karakterler içeren şifreler kullanarak hesaplarını korumaları önemlidir.
• Düzenli güncellemeler yapmak. Yazılımların ve işletim sistemlerinin güncellenmesi, güvenlik açıklarının kapatılmasına yardımcı olur.
• Antivirüs yazılımları kullanmak. Bu yazılımlar, kötü amaçlı yazılımları tespit edip engelleyerek sisteminizi korur.
• Ağ güvenliği sağlamak. Yerel ağda güvenlik duvarları kullanarak izinsiz girişleri önlemek önemlidir.

Bu önlemler, siber saldırılara karşı güçlü bir savunma oluşturur.

Siber dolandırıcılık nasıl tespit edilir?

Siber dolandırıcılığın tespit edilmesi, dikkatli bir yaklaşım gerektirir. Kullanıcıların sık sık karşılaşabileceği bazı belirtiler şunlardır:

• Şüpheli e-postalar: Bilinmeyen kişilerden gelen e-postalarda mutlaka dikkatli olunmalıdır.
• Aşırı cazip teklifler: Gerçek olmayan, çok iyi görünen fırsatlar genellikle dolandırıcılık belirtisi olabilir.
• Web siteleri: HTTPS koruması olmayan veya düşük kaliteli görünen sitelerden uzak durulması önemlidir.

Bu belirtilere duyarlı olmak, dolandırıcılığın önüne geçebilir.

Siber güvenlik eğitimlerinin önemi nedir?

Siber güvenlik eğitimleri, bireylerin ve şirket çalışanlarının siber tehditler hakkında bilinçlenmesini sağlar. Eğitimin sağladığı avantajlar şunlardır:

• Farkındalık oluşturma: Çalışanlar, karşılaşabilecekleri tehditler hakkında daha fazla bilgi sahibi olur.
• Ağa güvenli bir şekilde erişim sağlama: Kullanıcılar, şifrelerin doğru bir şekilde nasıl kullanılacağını ve paylaşılamayacağını öğrenir.
• Hızlı müdahale becerisi: Tehditlerle karşılaşıldığında nasıl davranacaklarını öğrenmeleri, hızlı müdahale yeteneklerini geliştirir.

Siber güvenlik eğitimleri, kuruluşların verilerini korumasına yardımcı olarak güvenli bir çalışma ortamı oluşturur.

Siber güvenlik, internet ortamında güvenli bir deneyim sağlamak için kritik bir rol oynamaktadır. Siber tehditlerle başa çıkmak ve güvenliği artırmak için bireylerin ve kuruluşların, belirli adımlar atması gereklidir. Unutulmamalıdır ki, etkili bir siber güvenlik stratejisi, sadece teknolojik önlemlerle değil, aynı zamanda insan faktörüyle de desteklenmelidir.

Güncel Siber Güvenlik Haberleri – 1