Vidar – Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri

Avustralya Acil Uyarı: ClickFix Saldırıları Vidar Stealer’ı Yaygınlaştırıyor

teknomers — Thu, 07 May 2026 18:31:56 +0000

Giriş

Avustralya Siber Güvenlik Merkezi (ACSC), ClickFix tekniklerini kullanarak Vidar Stealer kötü amaçlı yazılımını dağıtan bir siber saldırı kampanyasına karşı kuruluşları uyarıyor. Bu olay, kullanıcıların bilgi güvenliği açısından maruz kaldıkları tehlikelerin ciddiyetini ortaya koymaktadır.

Saldırı Nasıl Çalışıyor?

ClickFix, kullanıcıları sahte CAPTCHA veya tarayıcı doğrulama istemleri aracılığıyla kötü amaçlı komutlar çalıştırmaya ikna eden bir sosyal mühendislik saldırı tekniğidir. Bu saldırıda, kullanıcıların genellikle aşağıdaki adımları takip etmesi sağlanır:

Tehlikeli bir WordPress sitesine erişim sağlama.
Sahte Cloudflare doğrulama veya CAPTCHA istemi görüntüleme.
Bilinçli olarak kopyalama ve kötü amaçlı bir PowerShell komutunu çalıştırma.

Bu süreç sonucunda kullanıcılar, Vidar Stealer enfeksiyonu ile karşı karşıya kalıyor.

Etkilenen Sistemler

Vidar Stealer, 2018 sonlarında ortaya çıkan bir bilgi çalan kötü amaçlı yazılım ailesidir. Bu yazılım, siber suçlular arasında popülaritesini artırmış ve aşağıdaki verileri hedef almıştır:

Tarayıcı şifreleri
Cookie’ler
Kripto para cüzdanları
Otomatik doldurma bilgileri
Sistem detayları

Vidar, çalıştırıldıktan sonra kendi yürütülebilir dosyasını silerek sistem belleğinden çalışmaya devam eder, böylece dijital adli bulguları azaltır.

Çözüm ve Korunma

ACSC, siber saldırılara karşı önlem almak için şu önerilerde bulunmaktadır:

PowerShell yürütme işlemlerini kısıtlayın.
Uygulama izin listeleri uygulayın.
WordPress site yöneticileri, tema ve eklentiler için mevcut güvenlik güncellemelerini uygulamalıdır.
Kullanılmayan tema ve eklentileri platformlarından kaldırın.

Ayrıca, ACSC’nin güvenlik bülteni, bu saldırılarla ilgili bazı compromised (IoC) göstergelerini sunarak kuruluşların savunmalarını güçlendirmelerine yardımcı olabilir.

Sonuç

Kuruluşların ve bireylerin, Vidar Stealer ve benzeri kötü amaçlı yazılımlardan korunmak için güncellemeleri düzenli olarak uygulamaları ve güvenlik önlemlerini artırmaları önemlidir. Port kapatma, düzenli güvenlik taramaları ve eğitimler ile siber güvenlik açıklarını minimize edebilirler.

Hackerlar, TikTok videolarıyla Vidar ve StealC zararlıları yayıyor.

teknomers — Fri, 23 May 2025 18:59:53 +0000

Gelişen Tehditler: Latrodectus Malware ve Dağıtım Yöntemleri

Son dönemde Latrodectus adını taşıyan zararlı yazılım, siber güvenlik alanındaki en son tehditlerden biri olarak dikkat çekiyor. Bu yazılım, kullanıcılara zararlı dosyaları aktarmak için kullandığı ClickFix teknikleriyle biliniyor. Expel‘in yaptığı bir rapora göre, ClickFix yöntemi, zararlı yazılımların bellekte çalışmasını sağlarken, diske yazılmadığı için güvenlik araçlarının tespit şansını azaltıyor. Bu durum, birçok tarayıcı ve güvenlik yazılımını tehditten habersiz bırakıyor.

Latrodectus, IcedID adlı önceki bir zararlı yazılımın halefidir ve diğer zararlı yazılımları indirmek için bir yükleyici olarak çalışıyor. İlk olarak Proofpoint ve Team Cymru tarafından Nisan 2024’te belgelenmiştir. Bu zararlı yazılım, siber güvenlik alanındaki geniş saldırılar arasında yer alıyor ve bu saldırılar sonucu 300’den fazla sunucu çökertilmiştir.

Son Saldırılar ve Taktikler

Bu yılın Mayıs ayında Expel, Latrodectus’un yeni bir saldırı dalgasını tespit etti. Kullanıcılar, enfekte olmuş bir web sitesinden bir PowerShell komutunu kopyalayıp çalıştırmaya yönlendiriliyor. Bu taktik, zararlı yazılımların dağıtımında yaygın bir yöntem haline geldi. Kullanıcılar, bu komutları çalıştırdıklarında, uzaktaki bir URL’den bir dosya yüklemeye çalışıyor; bu da zararlı yazılımın bellekte çalışmasını sağlıyor. Dolayısıyla, bu şekilde dosyanın diske yazılmadığı için tespit edilmesi daha zor hale geliyor.

Saldırganlar, NVIDIA’dan alınmış meşru bir uygulama dosyasını kullanarak, zararlı bir DLL dosyasını sarkıtıyor ve ardından ana yükü indiren bir curl komutunu çalıştırıyor. Bu tür saldırıları önlemek için Windows’un Çalıştır programının devre dışı bırakılması önerilmektedir. Bu işlem, Group Policy Objects (GPO) kullanarak veya Windows Kayıt Defteri değişikliği ile gerçekleştirilebilir.

Sosyal Medya ve Yeni Tehditler

Trend Micro’nun yaptığı açıklamaya göre, siber saldırganlar sahte CAPTCHA sayfaları yerine, AI destekli oluşturulmuş TikTok videolarını kullanarak Vidar ve StealC bilgi hırsızlarını dağıtmaya çalışıyor. TikTok hesapları üzerinden yayılan bu videolar, kullanıcıları zararlı komutları çalıştırmaları yönünde yönlendiriyor. Örneğin, bir video, "Spotify deneyiminizi anında artırın" gibi iddialarla 500.000’in üzerinde görüntülemeye ulaşırken, 20.000’den fazla beğeni almıştır.

Bu kampanya, kullanıcıları yasadışı uygulamaları aktive etme yöntemlerini ararken, onları sahte yollarla Windows Çalıştır penceresini açmaya ve PowerShell‘de belirtilen komutları çalıştırmaya yönlendiriyor. Siber güvenlik analisti Junestherry Dela Cruz, saldırganların popüler sosyal medya platformlarını kullanarak kullanıcıları yönlendirdiklerini ve bu taktiklerin önemli bir tehdit oluşturduğunu belirtiyor.

Mac Kullanıcılarını Hedef Alan Sahte Uygulamalar

Son günlerde, Ledger Live uygulamasının klonlanmış versiyonlarıyla, Mac kullanıcılarının gizli bilgilerini çalan yeni bir tehdidin daha ortaya çıktığı söyleniyor. Bu saldırılar, kullanıcıların kripto cüzdanlarını boşaltmayı hedefliyor. Moonlock Lab tarafından bildirilen bu kampanya, kullanıcıların şifrelerini ve Apple Notes verilerini çalan kötü niyetli DMG dosyaları kullanıyor.

Bu zararlı uygulamalar, kullanıcılara sahte bir hesap problemi bildirerek, onları kurtarma için seed phrase’lerini girmeye zorlayarak, bu bilgileri saldırganlara iletiyor. MacPaw‘ın siber güvenlik bölümü, kripto kullanıcılarının Ledger Live üzerindeki güvendiğini ve saldırganların bunu kullandığını vurguluyor.

Siber Güvenlikte Alınması Gereken Önlemler

Gözlemlenen bu gelişmeler, siber güvenliğin her zamankinden daha önemli hale geldiğini gösteriyor. Kullanıcıların, zararlı yazılımlar ve sosyal mühendislik tekniklerine karşı daha dikkatli olmaları gerekiyor. Bilgisayar güvenliğini artırmak için temel önlemler arasında:

Antivirüs Programları Kullanmak: Güncel ve etkili bir antivirüs yazılımı, zararlı yazılımları tespit edebilir.
Dikkatli Olmak: Bilinmeyen kaynaklardan gelen bağlantılara tıklamamak, şüpheli görünümlü e-postaları açmamak gerekiyor.
Güçlü Parolalar: Farklı platformlar için güçlü ve tahmin edilmesi zor parolalar kullanmak, hesapların güvenliğini artırır.
Düzenli Güncellemeler: İşletim sistemi ve yazılımların her zaman en son güncellemeleri alması, bilinen güvenlik açıklarının kapatılmasına yardımcı olur.

Sonuç olarak, teknoloji ve internetin yaygınlaşmasıyla birlikte siber saldırılar da çeşitleniyor. Kullanıcıların bu tehditlerin farkında olması ve gereken önlemleri alması hayati önem taşımaktadır.

Güncel Siber Güvenlik Haberleri – 1

Siber Suçlular, Hijack Loader ve Vidar Stealer’ı Çalıştırmak İçin Özgür Yazılım Yemlerinden Yararlanıyor

teknomers — Tue, 18 Jun 2024 16:23:14 +0000

18 Haziran 2024Haber odasıKötü Amaçlı Yazılım / Siber Suç

Tehdit aktörleri, Hijack Loader adlı bir kötü amaçlı yazılım yükleyicisi sunmak için ticari yazılımın ücretsiz veya korsan sürümleriyle şüphelenmeyen kullanıcıları cezbediyor ve bu yükleyici daha sonra Vidar Stealer olarak bilinen bir bilgi hırsızını devreye sokuyor.

Trellix güvenlik araştırmacısı Ale Houspanossian, “Düşmanlar, kullanıcıları Cisco Webex Meetings Uygulamasının (ptService.exe) truva atı haline getirilmiş kopyalarını içeren parola korumalı arşiv dosyalarını indirmeleri için kandırmayı başardı.” söz konusu Pazartesi analizinde.

“Şüphelenmeyen kurbanlar ‘Setup.exe’ ikili dosyasını çıkarıp çalıştırdığında, Cisco Webex Meetings uygulaması gizlice gizli bir kötü amaçlı yazılım yükleyicisi yükledi ve bu da bilgi çalma modülünün yürütülmesine yol açtı.”

Başlangıç noktası, “Setup.exe” yürütülebilir adını içeren bir RAR arşiv dosyasıdır ancak gerçekte Cisco Webex Meetings’in ptService modülünün bir kopyasıdır.

Kampanyayı dikkat çekici kılan şey, DLL yandan yükleme teknikleri Hijack Loader’ı (diğer adıyla DOILoader veya IDAT Loader) gizlice başlatmak için bu, daha sonra bir AutoIt betiği aracılığıyla Vidar Stealer’ı düşürmek için bir kanal görevi görür.

Houspanossian, “Kötü amaçlı yazılım, Kullanıcı Hesabı Denetimi’ni (UAC) atlamak ve ayrıcalık yükseltme için CMSTPLA COM arayüzünü kullanmak için bilinen bir teknik kullanıyor.” dedi. “Ayrıcalık yükseltme başarılı olduktan sonra, kötü amaçlı yazılım kendisini Windows Defender’ın savunmadan kaçınma nedeniyle hariç tutma listesine ekledi.”

Saldırı zinciri, web tarayıcılarından hassas kimlik bilgilerini almak için Vidar Stealer’ı kullanmanın yanı sıra, ele geçirilen ana makineye bir kripto para madencisini dağıtmak için ek yüklerden yararlanıyor.

Açıklama, daha önce ReliaQuest tarafından geçen ayın sonlarında açıklanan bir teknik olan, web sayfalarının görüntülenmesiyle ilgili olduğu varsayılan bir sorunu çözmek için site ziyaretçilerini bir PowerShell komut dosyasını manuel olarak çalıştırmaya teşvik eden ClearFake kampanyalarındaki ani artışın ardından geldi.

PowerShell betiği daha sonra Hijack Loader için bir başlatma paneli görevi görüyor ve sonuçta Lumma Stealer kötü amaçlı yazılımını dağıtıyor. Çalıcı ayrıca, XMRig madencisini başlatan bir indirici olan Amadey Loader ve kripto işlemlerini saldırganın kontrolündeki cüzdanlara yeniden yönlendirmek için bir kesici kötü amaçlı yazılım da dahil olmak üzere üç veri daha indirebilecek donanıma sahip.

Proofpoint araştırmacıları Tommy Madjar, Dusty Miller ve Selena Larson, “Amadey’in JaskaGO olduğuna inanılan Go tabanlı bir kötü amaçlı yazılım gibi başka veriler de indirdiği gözlemlendi.” söz konusu.

Kurumsal güvenlik firması, Nisan 2024’ün ortalarında, PowerShell kodunu kopyalayıp çalıştırmayı içeren benzer bir mekanizma kullanarak Vidar Stealer’ı yaymak için, güvenliği ihlal edilmiş sitelerin ziyaretçilerine hatalı tarayıcı güncellemesi sağlayan ClickFix adlı başka bir etkinlik kümesini de tespit ettiğini söyledi.

Malspam kampanyalarında aynı sosyal mühendislik taktiğini benimseyen bir diğer tehdit aktörü de, açıldığında şu hata mesajını görüntüleyen HTML ekleri içeren e-postalar gönderdiği gözlemlenen TA571’dir: “‘Word Online’ uzantısı tarayıcınızda yüklü değil” “

Mesajda ayrıca “Nasıl düzeltilir” ve “Otomatik düzeltme” olmak üzere iki seçenek bulunur. Kurban ilk seçeneği seçerse, Base64 kodlu bir PowerShell komutu bilgisayarın panosuna kopyalanır ve ardından bir PowerShell terminalini başlatma ve pano içeriğini yapıştırmak ve bir MSI yükleyicisini çalıştırmaktan sorumlu kodu yürütmek için konsol penceresine sağ tıklama talimatları gelir. veya bir Visual Basic Komut Dosyası (VBS).

Benzer şekilde, “Otomatik düzeltme” seçeneğini seçen kullanıcılar, “search-ms:” protokol işleyicisinden yararlanılarak Windows Gezgini’nde “fix.msi” veya “fix.vbs” adlı WebDAV tarafından barındırılan dosyalar görüntülenir.

Seçilen seçeneğe bakılmaksızın, MSI dosyasının yürütülmesi Matanbuchus’un kurulumuyla sonuçlanırken, VBS dosyasının yürütülmesi DarkGate’in dağıtımına yol açar.

Kampanyanın diğer çeşitleri de NetSupport RAT’ın dağıtımıyla sonuçlandı; bu da, başarılı olmak için kullanıcı açısından önemli bir etkileşim gerektirmesine rağmen, yemleri ve saldırı zincirlerini değiştirme ve güncelleme çabalarının altını çizdi.

Proofpoint, “Meşru kullanım, kötü amaçlı kodu saklamanın birçok yolu ve kurbanın kötü amaçlı kodu bir dosyayla doğrudan ilişkilendirmeden manuel olarak çalıştırması, bu tür tehditlerin tespitini zorlaştırıyor” dedi.

“Antivirüs yazılımları ve EDR’ler pano içeriğini denetlemede sorunlar yaşayacağından, kötü amaçlı HTML/sitenin kurbana sunulmasından önce tespit ve engellemenin yapılması gerekiyor.”

Bu gelişme aynı zamanda eSentire’ın Indeed’in kimliğine bürünen benzer web sitelerinden yararlanan bir kötü amaçlı yazılım kampanyasını açığa çıkarmasıyla da ortaya çıktı[.]com.tr, ekip oluşturma fikirleri sunduğu iddia edilen bir yem belgesi aracılığıyla SolarMarker bilgi çalan kötü amaçlı yazılımdan kurtulmayı teklif etti.

Kanadalı siber güvenlik şirketi “SolarMarker, arama motoru sonuçlarını manipüle etmek ve aldatıcı bağlantıların görünürlüğünü artırmak için arama motoru optimizasyonu (SEO) zehirleme tekniklerini kullanıyor.” söz konusu.

“Saldırganların, kullanıcıları kötü amaçlı sitelere yönlendirmek için SEO taktiklerini kullanması, meşru görünseler bile arama motoru sonuçlarına tıklama konusunda dikkatli olmanın önemini vurguluyor.”

siber-2

Vidar Kötü Amaçlı Yazılımı Tespitten Kaçmak ve Faaliyetleri Anonimleştirmek için Yeni Taktikler Kullanıyor

teknomers — Fri, 16 Jun 2023 02:44:19 +0000

15 Haziran 2023Ravie LakshmananKötü Amaçlı Yazılım / Siber Tehdit

Arkasındaki tehdit aktörleri Vidar kötü amaçlı yazılımı arka uç altyapılarında, çalışma biçimleriyle ilgili kamuya ifşaatlara yanıt olarak çevrimiçi izlerini yeniden düzenleme ve gizleme girişimlerini gösteren değişiklikler yaptılar.

Siber güvenlik şirketi Team Cymru, “Vidar tehdit aktörleri, Moldova ve Rusya’daki sağlayıcıları tercih ederek arka uç IP altyapılarını döndürmeye devam ediyor.” söz konusu The Hacker News ile paylaşılan yeni bir analizde.

Vidar, 2018’in sonlarından beri aktif olduğu bilinen ticari bir bilgi hırsızıdır. Aynı zamanda, Arkei adlı başka bir hırsız kötü amaçlı yazılımın çatalıdır ve abonelik düzeyine bağlı olarak 130 ile 750 dolar arasında satışa sunulur.

Tipik olarak kimlik avı kampanyaları ve crackli yazılımların reklamını yapan siteler aracılığıyla sunulan kötü amaçlı yazılım, virüslü ana bilgisayarlardan hassas bilgileri toplamak için çok çeşitli yeteneklerle birlikte gelir. Vidar’ın ayrıca hileli Google Ads ve Bumblebee adlı bir kötü amaçlı yazılım yükleyici aracılığıyla dağıtıldığı gözlemlendi.

Takım Cymru, bir rapor Ocak ayının başlarında yayınlanan, “Vidar operatörleri altyapılarını iki kısma ayırdı; biri düzenli müşterilerine, diğeri yönetim ekibine ve ayrıca potansiyel olarak premium / önemli kullanıcılara ayrılmış.”

Vidar aktörleri tarafından kullanılan anahtar alan my-odin’dir.[.]Paneli yönetmek, bağlı kuruluşların kimliğini doğrulamak ve dosyaları paylaşmak için tek adres olarak hizmet veren com.

Önceden herhangi bir kimlik doğrulaması olmadan siteden dosya indirmek mümkünken, aynı işlemi gerçekleştirmek artık kullanıcıyı bir oturum açma sayfasına yönlendiriyor. Başka bir değişiklik, alanın kendisini barındıran IP adresindeki güncellemeleri içerir.

Buna 186.2.166’dan geçiş dahildir[.]15 ila 5.252.179[.]201 ila 5.252.176[.]49 Mart 2023’ün sonunda, tehdit aktörleri ikincisine VPN sunucularını kullanarak aynı anda erişiyor.

YAKLAŞAN WEBİNAR

API Güvenliğinde Uzmanlaşma: Gerçek Saldırı Yüzeyinizi Anlamak

API ekosisteminizdeki kullanılmayan güvenlik açıklarını keşfedin ve güçlü güvenlik için proaktif adımlar atın. Bilgilendirici web seminerimize katılın!

Oturuma Katılın

Cymru Ekibi, “En azından kısmen çok sayıda başka iyi niyetli kullanıcı tarafından da kullanılan VPN altyapısını kullanarak, Vidar tehdit aktörlerinin genel İnternet gürültüsünü gizleyerek yönetim faaliyetlerini anonimleştirmek için adımlar atıyor olabileceği açıktır.”

Siber güvenlik şirketi, 5.252.176’dan giden bağlantıları da tespit ettiğini söyledi.[.]49’dan blok adlı meşru bir web sitesine[.]co ve Rusya’da bulunan bir ana bilgisayar (185.173.93)[.]98:443).

Vidar altyapısının, 185.229.64 yeni IP adresinin tanıtılmasıyla 3 Mayıs 2023’ten itibaren geçerli olmak üzere bir kez daha makyajlandığı tespit edildi.[.]137 my-odin’i barındırma[.]com etki alanı ve operatörler tarafından hesaplarına ve kötü amaçlı yazılım havuzlarına erişmek için TOR rölelerinin kullanımı.

Şirket, “Bulgular, Vidar’ın ‘perde arkası’ operasyonu hakkında daha fazla bilgi sağlayarak, yönetim altyapısının gelişimini ve tehdit aktörlerinin potansiyel olarak izlerini örtmek için attığı adımların kanıtını gösteriyor” dedi.

siber-2