Rus Otomotiv Sektörüne Yönelik Yeni Kötü Amaçlı Yazılım Tehditi
Son günlerde siber güvenlik araştırmacıları, Rus otomotiv ve e-ticaret sektörlerini hedef alan yeni bir kampanya hakkında önemli bilgiler sundular. Bu kampanya, daha önce belgelenmemiş olan CAPI Backdoor adında bir .NET kötü amaçlı yazılım kullanılarak gerçekleştiriliyor. Seqrite Labs tarafından yapılan incelemelere göre, bu saldırı zinciri, kullanıcıları bir enfeksiyona yönlendirmek için phishing e-postaları aracılığıyla ZIP arşivlerinin dağıtımını içeriyor.
Phishing E-postaları ve ZIP Arşivleri
Araştırmacıların belirttiğine göre, saldırının başlangıç noktasını oluşturan phishing e-postaları, 3 Ekim 2025 tarihinde VirusTotal platformuna yüklenen bir ZIP dosyası etrafında şekilleniyor. Bu ZIP arşivi, Rus dilinde hazırlanmış ve gelir vergisi yasası ile ilgili bir bildirim olarak görünen bir yanıltıcı belgeyi içeriyor. Bunun yanı sıra, ZIP dosyası ile aynı isme sahip bir Windows kısayol dosyası (LNK) da bulunuyor. Kısayol dosyası, kötü amaçlı .NET implantı olan “adobe.dll” dosyasını, Microsoft’un meşru bir ikili dosyası olan “rundll32.exe” kullanarak çalıştırıyor. Bu yöntem, tehdit aktörleri tarafından sıklıkla kullanılan “living-off-the-land” (LotL) tekniği olarak biliniyor.
CAPI Backdoor’un Özellikleri
Seqrite’ye göre, CAPI Backdoor, yönetici düzeyinde ayrıcalıklarla çalışıp çalışmadığını kontrol etme, kurulu antivirüs yazılımlarının listesini toplama ve yanıltıcı belgeyi açarken arka planda uzaktaki bir sunucuya bağlı kalarak daha fazla komut almak için bağlantı kurma gibi fonksiyonlara sahip. Bu komutlar aracılığıyla CAPI Backdoor, Google Chrome, Microsoft Edge ve Mozilla Firefox gibi web tarayıcılarından veri çalma, ekran görüntüleri alma, sistem bilgilerini toplama, klasör içeriklerini sıralama ve sonuçları sunucuya geri göndermeye yönelik işlemleri gerçekleştiriyor.
Tehdit, aynı zamanda hangi platformda çalıştığını belirlemeye yönelik uzun bir kontrol listesini de barındırıyor. Gerçek bir sistem mi yoksa sanal makine mi olduğunu anlamaya çalışırken, kötü amaçlı yazılımın kalıcılığını sağlamak amacıyla bir zamanlayıcı görevi oluşturma ve kısayol dosyası yaratarak Windows Başlangıç klasörüne yerleştirme gibi iki yöntem kullanıyor. Böylece, Windows Roaming klasörüne kopyalanan DLL dosyası otomatik olarak başlatılabiliyor.
Otomotiv Sektörüne Yönelik Hedefleme
Seqrite’in değerlendirmesine göre, tehdit aktörlerinin Rus otomotiv sektörünü hedef almasının sebeplerinden biri, kampanyayla bağlantılı bir alan adının “carprlce.ru” olmasıdır. Bu alan adı, meşru “carprice.ru” sitesini taklit ederek dikkat çekmeye çalışıyor. Araştırmacılar, bu tür taklitlerin önemli bir tehdit oluşturduğunu vurguluyor. Priya Patel ve Subhajeet Singha, “Kötü amaçlı payload, gelecekteki kötü niyetli faaliyetler için kalıcılık sağlayan bir stealer işlevi gören bir .NET DLL’dir” açıklamasında bulundular.
Siber Güvenlik Açısından Alınması Gereken Önlemler
Bu tür sofistike saldırılar, her bireyin ve kurumun siber güvenlik konusundaki farkındalığını artırmasını zorunlu kılıyor. Özellikle e-posta yoluyla gelen şüpheli içeriklere karşı dikkatli olmak, kullanıcıların alabileceği en basit fakat etkili önlemler arasında bulunuyor. Phishing e-postalarında dikkat edilmesi gereken unsurlar; gönderenin e-posta adresinin doğruluğu, e-postanın dil kullanımındaki tutarsızlıklar ve şüpheli bağlantılar gibi faktörlerdir.
Ayrıca işletmelerin, güvenlik yazılımlarını güncel tutmaları, şüpheli dosyaları taramaları ve kullanıcı eğitimleri ile güvenlik kültürü oluşturmaları büyük önem taşıyor. Bu tür bir eğitim, çalışanların yanlış bir e-posta ile kötü amaçlı yazılımlara maruz kalmalarını engelleyebilir. Sonuç olarak, CAPI Backdoor gibi kötü amaçlı yazılımların önüne geçmek için hem bireylerin hem de kurumların siber güvenlik bilincini yükseltmeleri kritik bir gereklilik olarak kendini göstermektedir.
Gelecek Tehditler ve Tedbirler
Son olarak, siber tehditlerin her geçen gün daha da sinsi hale geldiğini belirtmek gerekir. CAPI Backdoor gibi araçların, yalnızca belirli bir sektöre değil, genel anlamda tüm internet kullanıcılarına tehdit oluşturabileceği gerçeğini göz ardı etmemek gerekiyor. Bu nedenle, sürekli gelişim gösteren siber güvenlik önlemleri ve teknolojileri, bireyler ve kurumlar tarafından yakından takip edilmeli ve gerektiğinde uygulamaları hayata geçirilmelidir. Kısacası, siber güvenlik sadece IT departmanlarının sorumluluğu değil, her kullanıcıya ait ortak bir sorumluluktur.
