Brezilya’daki Malware Saldırıları: Yeni Tehditler ve Stratejiler
Son dönemlerde, siber güvenlik uzmanları, Brezilya‘da sahtecilik içeren büyük bir phishing kampanyasına dikkat çekiyor. Bu kampanya, generatif yapay zeka ile çalışan meşru internet sitesi oluşturma araçlarını kullanarak sahte hükümet siteleri oluşturuyor. Zscaler ThreatLabz tarafından yapılan araştırmalar, bu sahte sitelerin Brezilya’nın Devlet Trafik Departmanı ve Eğitim Bakanlığı’nı taklit ettiğini gösteriyor. Bu yöntemle, unsuspecting kullanıcıların PIX ödeme sistemi üzerinden gereksiz ödemeler yapmaları sağlanıyor.
Bu yöntemler, arama motoru optimizasyonu (SEO) teknikleri ile destekleniyor. Yani, sahte sitelerin görünürlüğü artırılarak, saldırının başarılı olma olasılığı yükseltiliyor. Zscaler’ın uzmanları, kaynak kodu analizi yaptıklarında generatif AI araçlarının imzalarına rastladıklarını bildirdi. Bu araçlar, geliştiricilere yol gösteren açıklayıcı yorumlar ve genellikle gerçek web sitelerinde işleyen işlevsel olmayan unsurlar içeriyor.
Saldırının nihai amacı, kullanıcıların Cadastro de Pessoas Físicas (CPF) numaraları, konut adresleri gibi hassas bilgilerini toplamak ve bir psikometrik test veya iş teklifi gibi sahte gerekçelerle 87.40 Brezilya Reali (yaklaşık 16 dolar) ödemeye ikna etmektir. Bunun için, sahte sayfalarda adım adım veri toplama işlemleri gerçekleştiriliyor. Bu yöntem, kullanıcıları içten bir deneyim sunduğu yanılsamasına kapılmaya yönlendiriyor.
Ayrıca, saldırganlar topladıkları CPF numaralarını doğrulamak için kendi geliştirdikleri bir API kullanıyorlar. Zscaler, bu API’nin saldırgan tarafından kayıtlı bir alan adı kullandığını vurguladı. API, CPF numarasına bağlı verileri alarak sahte sayfanın içeriğini otomatik olarak dolduruyor. Bu durum, kullanıcıların karşılaştıkları sahte web sitelerinin güvenilirlik hissini artırıyor.
Mass Mailing Kampanyaları ve Efimer Trojan
Brezilya, ayrıca bir başka malspam kampanyasına da sahne oluyor. Bu kampanya, büyük bir şirketin avukatlarını taklit ederek Efimer adlı kötü amaçlı bir script’i kullanıcılara gönderiyor. Kaspersky‘nin tespitlerine göre, bu kampanya Haziran 2025’te başlamış olup, malware’nin ilk versiyonları 2024’ün Ekim ayında ortaya çıkmıştır. Saldırı, enfekte olmuş WordPress web siteleri aracılığıyla yayılmaktadır.
Bu e-postalar, alıcının alan adının gönderenin haklarını ihlal ettiğini savunarak gönderilmektedir. Efimer’in çeşitli yayılma yolları bulunuyor; bunlar arasında kötü niyetli torrentler ve e-posta yoluyla dağıtım yer alıyor. Saldırganlar, bulaşmış makinelerden çeşitli bilgileri çalmak için kullanılmak üzere komuta ve kontrol (C2) sunucusu ile iletişim kuruyor.
Özellikle dikkat çeken bir özellik, Efimer’in clipper malware olarak bilinen bir tür kötü amaçlı yazılım barındırmasıdır. Bu yazılım, kullanıcıların panolarına kopyaladıkları kripto para cüzdanı adreslerini saldırganın kontrolündeki adresle değiştirme işlevine sahiptir. Bununla birlikte, ekran görüntüleri alma ve C2 sunucusundan alınan ek yükleri çalıştırma yetenekleri de bulunmaktadır.
Kaspersky, Efimer’in ikinci bir versiyonunu da keşfetti. Bu versiyon, clipper özelliklerinin yanı sıra anti sanal makineler (anti-VM) özellikleri de taşımakta ve popüler kripto para cüzdanı uzantılarını aramak için Chrome ve Brave gibi web tarayıcılarını taramaktadır. Elde edilen sonuçları, C2 sunucusuna geri gönderiyor.
Bu kampanyanın, Brezilya, Hindistan, İspanya, Rusya, İtalya, Almanya, Birleşik Krallık, Kanada, Fransa ve Portekiz gibi ülkelerde 5,015 kullanıcıyı etkilediği tahmin edilmektedir. Temel amacı kripto para cüzdanlarını çalmak olsa da, aynı zamanda WordPress sitelerini tehlikeye atma ve spam dağıtma yetenekleriyle de tam kapsamlı bir zararlı altyapı kurma potansiyeline sahiptir.
Sonuçlar ve Gelecekteki Tehditler
Bu tür phishing ve malspam saldırıları, gün geçtikçe daha karmaşık ve etkili hale geliyor. Kötü niyetli yazılımların bu denli yayılması, bireylerin ve şirketlerin güvenliğini ciddi anlamda tehdit ediyor. Kullanıcıların kişisel bilgilerini korumak için daha dikkatli olmaları ve kimlik avı saldırılarına karşı bilinçlenmeleri gerekiyor.
Gelecekte, bu tür kampanyaların daha fazla kullanıcıyı hedef alması ve daha büyük maddi kayıplara yol açabilmesi muhtemeldir. Bu yüzden, siber güvenlik alanında daha fazla farkındalık oluşturmak ve teknik önlemler almak hayati önem taşıyor.
