Kaspersky Global Araştırma ve Tahlil Grubu, Türkiye, Mısır, Bangladeş ve Almanya genelinde e-kitap okurlarını amaç alan makûs gayeli bir yazılım hizmet modeli kampanyasını ortaya çıkardı. Siber hatalılar, en çok okunan Türkçe ve Arapça kitapların görünümüne büründürdükleri gelişmiş makûs hedefli yazılımları kullanarak yüzlerce kullanıcıyı, parolalarını, kripto para cüzdanlarını ve başka hassas bilgilerini çalan belgeleri indirmeye yönlendiriyor.
Kaspersky, LazyGo ismi verilen ve bilgi hırsızlığı yapan çeşitli makus emelli yazılımları dağıtan yeni bir Go tabanlı yükleyiciyi kullanan makus gayeli yazılım hizmeti modeli (malware-as-a-service (MaaS)) kampanyası tespit etti. Kampanya, Türkçe’ye çevrilmiş John Buchan’ın “39 Basamak” gibi tanınan yapıtlardan, şiir, folklor ve dini pratiklere yönelik Arapça metinlere kadar geniş bir yelpazede arama yapan kullanıcıları maksat alıyor. Geçersiz e-kitaplar, Tamer Koçel’in “İşletme Yöneticiliği” üzere Türkçe işletme idaresi kitaplarından çağdaş kurgu yapıtlarına ve “Umman Sultanlığı’nda Edebi ve Dilbilimsel Hareket” üzere Arapça edebiyat eleştirisi çalışmalarına kadar çeşitlilik gösteriyor.
Kötü maksatlı belgeler PDF e-kitap üzere görünse de aslında PDF simgesi taşıyan yürütülebilir programlar. Kullanıcılar bu geçersiz kitapları indirip açtığında, LazyGo yükleyicisi StealC, Vidar ve ArechClient2 üzere bilgi hırsızlarını sistemlere yerleştiriyor. Kaspersky araştırmacıları, API unhooking, AMSI atlatma, ETW devre dışı bırakma ve sanal makine tespitinden kaçınma üzere farklı gizlenme teknikleri kullanan üç farklı LazyGo varyantı tespit etti.
Saldırganların çaldığı bilgiler şunları içeriyor:
- Tarayıcı verileri: Chrome, Edge, Firefox ve başka tarayıcılardan kayıtlı parolalar, çerezler, otomatik doldurma dataları ve tarama geçmişi.
- Finansal varlıklar: Kripto para cüzdanı uzantıları, yapılandırma evrakları ve depolama dataları.
- Geliştirici kimlik bilgileri: AWS kimlik bilgileri, Azure CLI belirteçleri ve Microsoft Identity Platform belirteçleri.
- İletişim platformları: Discord belirteçleri, Telegram Desktop dataları ve Steam oturum bilgileri.
- Sistem bilgileri: Donanım özellikleri, yüklü yazılımlar ve çalışan süreçler.
ArechClient2/SectopRAT ile enfekte olan kurbanlar, saldırganların sistem üzerinde tam uzaktan denetim elde etmesi nedeniyle ek bir riskle karşı karşıya kalıyor.
Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Yossef Abdelmonem: “Bu kampanyayı bilhassa kaygı verici kılan öge, malware-as-a-service modelinin amaçlı toplumsal mühendislik ile birleştirilmiş olmasıdır. LazyGo yükleyicisinin farklı varyantları ve gelişmiş kaçınma teknikleri, bunun sıradan bir siber hata teşebbüsü olmadığını; kimlik bilgilerini geniş ölçekte toplamak hedefiyle kurgulanmış yapılandırılmış bir operasyon olduğunu gösteriyor. Kurumsal altyapıya derin erişim sağlayabileceği için çalınan geliştirici belirteçleri ve bulut kimlik bilgilerinin oluşturduğu risklere karşı kurumların bilhassa dikkatli olması gerekiyor.”
Kaspersky’nin telemetrisi, kampanyanın kamu kurumları, eğitim kurumları, BT hizmetleri ve öteki dalları etkilediğini gösteriyor. Tehdit aktörleri, makus maksatlı e-kitapları GitHub’a ve ele geçirilmiş web sitelerine sistemli olarak yüklemeye devam ettiği için kampanya hala etkin durumda.
Kaspersky uzmanları, kullanıcıların e-kitap indirmeden evvel kaynakları doğrulamasını, evrak özelliklerini dikkatle incelemesini ve gelişmiş kaçınma tekniklerini algılayabilecek şimdiki bir güvenlik tahlili kullanmasını öneriyor. Güvenlik tahlili seçerken, bağımsız testlerle doğrulanmış güçlü berbat hedefli yazılım tarama yeteneklerine sahip eserlere yönelmek değer taşıyor. AV-Comparatives tarafından gerçekleştirilen son değerlendirmeye göre, Kaspersky Premium, 9.995 belgeden oluşan test setinde yüzde 99,99 makûs maksatlı yazılım belirleme oranı göstererek yüksek seviyede muhafaza sağladığını kanıtladı.
Kaynak: (BYZHA) Beyaz Haber Ajansı
