Kaspersky Küresel Araştırma ve Analiz Ekibi, Türkiye, Mısır, Bangladeş ve Almanya’da e-kitap okurlarını hedef alan yeni bir kötü amaçlı yazılım hizmet modeli kampanyasını ortaya çıkardı. Siber suçlular, en çok okunan Türkçe ve Arapça kitapların görünümünü taklit eden gelişmiş kötü amaçlı yazılımlarla yüzlerce kullanıcıyı parolalarını, kripto para cüzdanlarını ve diğer hassas bilgilerini çalan dosyaları indirmeye yönlendiriyor.
Popüler eserlerin kılığına giren sahte e-kitaplar
Kaspersky, LazyGo adı verilen ve çeşitli bilgi hırsızlarını dağıtan yeni bir Go tabanlı yükleyicinin kullanıldığı kötü amaçlı yazılım hizmeti modeli kampanyası tespit etti. Kampanya, Türkçe’ye çevrilen John Buchan’ın “39 Basamak” gibi popüler eserleri ve Arapça şiir, folklor, dini pratikler ya da edebiyat eleştirisi üzerine metinleri arayan kullanıcıları hedef alıyor. Sahte e-kitaplar arasında Tamer Koçel’in “İşletme Yöneticiliği” gibi işletme yönetimi kitapları ve çağdaş kurgu eserleri de yer alıyor.
Kötü amaçlı dosyalar PDF gibi görünmesine karşın aslında PDF simgesi taşıyan yürütülebilir programlar. Kullanıcılar bu sahte dosyaları açtığında LazyGo yükleyicisi StealC, Vidar ve ArechClient2 gibi bilgi hırsızlarını sisteme yerleştiriyor.
Gelişmiş kaçınma teknikleri ve üç farklı LazyGo varyantı
Kaspersky araştırmacıları, API unhooking, AMSI atlatma, ETW devre dışı bırakma ve sanal makine tespitinden kaçınma gibi yöntemler içeren üç ayrı LazyGo varyantı tespit etti. Bu varyantların her biri saldırının tespit edilmesini zorlaştırmayı amaçlıyor.
Çalınan bilgilerin kapsamı genişliyor
Siber saldırganların hedef aldığı veriler arasında şunlar bulunuyor:
Tarayıcı verileri: Chrome, Edge ve Firefox gibi tarayıcılardan kayıtlı parolalar, çerezler, otomatik doldurma verileri ve tarama geçmişi.
Finansal varlıklar: Kripto para cüzdanı uzantıları, yapılandırma dosyaları ve depolama verileri.
Geliştirici kimlik bilgileri: AWS kimlik bilgileri, Azure CLI belirteçleri ve Microsoft Identity Platform belirteçleri.
İletişim platformları: Discord belirteçleri, Telegram Desktop verileri ve Steam oturum bilgileri.
Sistem bilgileri: Donanım özellikleri, yüklü yazılımlar ve çalışan süreçler.
ArechClient2/SectopRAT ile enfekte olan kullanıcılar, saldırganların sistem üzerinde tam uzaktan kontrol elde edebilmesi nedeniyle ek risk altında.
Uzman uyarısı: Hedefli sosyal mühendislik riski büyütüyor
Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Yossef Abdelmonem, kampanyanın boyutuna dikkat çekerek şunları söyledi:
“Bu kampanyayı endişe verici kılan unsur, malware-as-a-service modelinin hedefli sosyal mühendislik ile birleştirilmiş olmasıdır. LazyGo yükleyicisinin farklı varyantları ve gelişmiş kaçınma teknikleri bunun sıradan bir saldırı olmadığını; geniş çaplı kimlik bilgisi toplamak için kurgulanmış bir operasyon olduğunu gösteriyor. Kurumsal altyapıya derin erişim sağlayabilecek geliştirici belirteçleri ve bulut kimlik bilgilerinin oluşturduğu risklere karşı kurumların özellikle dikkatli olması gerekiyor.”
Kampanya halen aktif: GitHub ve ele geçirilmiş siteler kullanılıyor
Kaspersky’nin telemetrisi, saldırıların kamu kurumları, eğitim kurumları, BT hizmetleri ve farklı sektörlerde etkili olduğunu gösteriyor. Tehdit aktörlerinin kötü amaçlı e-kitapları GitHub’a ve ele geçirilmiş web sitelerine düzenli olarak yüklemeye devam ettiği bildiriliyor.
Kullanıcılara güvenlik uyarısı
Kaspersky uzmanları, e-kitap indirirken kaynağın doğrulanmasını, dosyaların özelliklerinin dikkatle incelenmesini ve gelişmiş kaçınma tekniklerini algılayabilen güncel bir güvenlik çözümü kullanılmasını tavsiye ediyor. AV-Comparatives’in son değerlendirmesine göre Kaspersky Premium, 9.995 dosyadan oluşan test setinde yüzde 99,99 kötü amaçlı yazılım belirleme oranıyla yüksek koruma düzeyi sunuyor.
Video: Razer Huntsman V3 X Tenkeyless Oyuncu Klavyesi
Yeni videolar için buradan abone olun!
