Malware Tehdidi: TamperedChef Hakkında Bilmeniz Gerekenler
Son zamanlarda, siber güvenlik araştırmacıları, malvertising yani kötü amaçlı reklam kullanılarak gerçekleştirilen bir siber suç kampanyasını ortaya çıkardılar. Bu kampanya, TamperedChef adı verilen yeni bir bilgi hırsızını yaymayı amaçlamaktadır. Truesec araştırmacıları, bu kampanyanın, kurbanları sahte web sitelerine yönlendirerek, trojan olarak tasarlanmış bir PDF editörü indirip yüklemeye ikna ettiğini bildirdi.
Sahte PDF Editörü: AppSuite PDF Editor
Kampanyanın merkezinde, AppSuite PDF Editor isimli sahte bir PDF editörünü tanıtan bir dizi sahte web sitesi bulunmaktadır. Kullanıcı, bu sahte programı indirip kurmaya ikna edildiğinde, yazılımın hizmet şartları ve gizlilik politikasını kabul etmeleri yönünde bir uyarı alır. Fakat arka planda, kurulum programı Windows Registry üzerinde değişiklikler yaparak, indirilen çalıştırılabilir dosyanın her yeniden başlatmada otomatik olarak çalışmasını sağlar.
Malware’nin Özellikleri
G DATA isimli Alman siber güvenlik şirketinin analizi, PDF editörünün başlatma sırasında kurbanın sistemine arkaplan kapısı (backdoor) eklediğini göstermiştir. Bu zarar verici yazılım birkaç önemli fonksiyonu desteklemektedir:
- –install: Belirli görevlerin zamanlayıcısını oluşturur ve uygulamanın çalıştırılmasını sağlar.
- –cleanup: Kaldırma işlemi sırasında arkaplan kapısı dosyalarını temizler ve makineyi sunucudan kaydettirir.
- –ping: Komut ve kontrol sunucusuyla iletişim başlatır ve makinede çeşitli eylemler gerçekleştirebilir.
- –check: Tarayıcı ayarlarını değiştirme ve veri eksiltilmesi gibi işlemleri yapar.
Siber Tehditin Süreci
Bu saldırının başlangıcının 26 Haziran 2025 olduğu tahmin edilmektedir. Bu tarihten itibaren, bazı sahte siteler, PDF editörü yazılımını tanıtan reklamlara başlamıştır. İlk başta, PDF dosyasının zararsız gibi göründüğü ifade edilse de, yazılım düzenli aralıklarla güncellemeleri kontrol etmek üzere JavaScript dosyası aracılığıyla komutlar almıştır.
21 Ağustos 2025 itibarıyla, makineler geri çağrılarak kötü niyetli işlevleri etkinleştirmiştir. TamperedChef zaten başlangıçta kurbanın güvenlik ürünleri listesini toplar ve tarayıcıları kapatmaya çalışır.
Kullanıcıların Dikkat Etmesi Gerekenler
Bu tür tehditlerden korunmak için kullanıcıların dikkatli olması gerekmektedir. Bilinmeyen kaynaklardan yazılım indirmek, kullanıcının sisteminin zarar görmesine yol açabilir. Bunun yanı sıra, güvenilir antivirüs yazılımlarının kullanılması ve düzenli güncellemeler yapılması önem arz etmektedir.
Malware’nin Yayıldığı Reklamlar
Siber güvenlik araştırmaları, sahte PDF editörlerinin tanıtımı için büyük bir reklam kampanyası yürütüldüğünü göstermektedir. Bu kampanyalar, Google üzerindeki çeşitli reklam alanlarını kullanarak yapılmış ve kullanıcıları sahte web sitelerine yönlendirmiştir. G DATA, bu tür programların kullanıcılardan habersiz diğer trojan uygulamaları da indirebilmektedir.
Sonuç ve Öneriler
Sonuçta, TamperedChef gibi siber tehditler, kullanıcıların verilerinin tehlikede olduğunu göstermektedir. Kullanıcıların daha güvenli bir internet deneyimi yaşaması için bilinçli olmaları, sahte yazılımlardan kaçınmaları ve güncel güvenlik yazılımları kullanmaları büyük önem taşımaktadır. Siber güvenlikte alınacak önlemler, bireysel verilerin korunmasında kritik rol oynamaktadır.
