

Siber saldırganlar, ScreenConnect uzaktan idare aracını tanınmış yazılımların resmi internet sitelerini taklit eden düzmece web sayfaları üzerinden dağıtıyor. Kaspersky araştırmacıları, İngilizce, Arapça, İspanyolca, Çince, Almanca, Portekizce ve Rusça dahil 10 farklı lisanda hazırlanmış 90’dan fazla alan ismi tespit etti. Bu yapı saldırganların dünya genelinde çok sayıda kullanıcıya ulaşmasını sağlıyor. Kampanya, Windows işletim sistemi kullanan hem kişisel kullanıcıları hem de kurumları maksat alıyor.
Kaspersky, Managed Detection and Response hizmeti kapsamında tespit ettiği bir olayın akabinde, saldırganların tanınan yazılımlar üzere görünen suram arşivlerini düzmece internet siteleri üzerinden yaydığı geniş çaplı bir kampanyayı ortaya çıkardı. Kelam konusu düzmece yükleyiciler; OBS Studio, DNS Jumper, DS4Windows, Glary Utilities ve Bandicam üzere yaygın kullanılan yazılımları taklit ediyor. Saldırganlar ayrıyeten, bu düzmece sitelerin arama motoru sonuçlarında üst sıralarda görünmesini sağlamak için arama motoru optimizasyonu (SEO) tekniklerinden yararlanıyor.
Araştırmacılar, tespit ettikleri 90’dan fazla uydurma yazılım sitesinin tamamında birebir usulün kullanıldığını belirledi. Yasal bir yazılım indirdiğini düşünen kullanıcılar, gerçekte saldırganlara ele geçirilen aygıta kalıcı erişim sağlayan saklı bir ScreenConnect uzaktan idare aracını indiriyor. Bu sayede saldırganlar, enfekte edilen sistem üzerinde tam denetim sağlayabilen açık kaynaklı Truva atı AsyncRAT’ı da yükleyebiliyor. Kampanyayla bağlı alan ismi kayıtlarının sayısı Şubat 2026’da doruğa ulaştı. Birebir tehdit aktörü, 2025 yılında da ziyanlı yükleyicileri oyun kılığında dağıtmak için emsal düzmece internet sitelerini kullanmıştı.

Saldırganların ScreenConnect’i dağıtmak maksadıyla kullandığı sahte web sitesi örneği
Bulaşma süreci, Microsoft tarafından dijital olarak imzalanmış legal install.exe evrakı ile birlikte install.res.1033.dll kitaplığını içeren ziyanlı arşiv evrakları aracılığıyla gerçekleşiyor. DLL side-loading tekniği kullanılarak aygıta yüklenen bu DLL, daha sonra saldırganlardan gelecek komutları bekleyen bir ScreenConnect hizmetini kuruyor.
Kaspersky Kıdemli SOC Analisti Denis Kulik, hususa ait şu ikazlarda bulunuyor: ‘’Bu kampanya, internetten fiyatsız yardımcı yazılımlar indiren kişisel kullanıcıların yanı sıra, uzaktan erişim araçlarının birden fazla vakit emniyetli uygulamalar listesinde yer aldığı ve yüksek ayrıcalıklarla çalışmasına müsaade verildiği kurumsal ağları da amaç alıyor. Asıl tehlike, geniş çaplı kimlik bilgisi hırsızlığına ve sistemlere yetkisiz erişime imkan sağlayabilmesidir. Ele geçirilen datalar ise çoğunlukla daha sonra dark web forumlarında satışa sunuluyor.’’
Raporun tamamına Securelist.com üzerinden ulaşılabilirsiniz.
Kaspersky uzmanları, işletmelerin bu tehdide karşı aşağıdaki tedbirleri almasını öneriyor:
- Yazılım kurulumlarını sıkı halde denetim altına alın. Uygulama müsaade listeleri (application allowlisting) kullanın ve güvenilmeyen kaynaklardan gelen MSI paketlerinin yüklenmesini engelleyin.
- Yeni uzaktan idare servislerini ve zamanlanmış misyonları daima izleyin.
- Bilinmeyen alan isimlerine ve IP adreslerine yönelik dış ağ trafiğini filtreleyin.
- Çalışanlarınızı yeni siber tehditler konusunda bilinçlendirin. Kaspersky Automated Security Awareness Platform, inançlı yazılım indirme alışkanlıkları da dahil olmak üzere siber güvenlik farkındalığının gelişmesine yardımcı olur.
- Yazılım kaynaklarının güvenilirliğini doğrulayın.
- Mevcut güvenlik denetimlerinizi, insan uzmanlar tarafından yürütülen tespit hizmetleri ve global tehdit istihbaratıyla destekleyin. Kaspersky Managed Detection and Response (MDR), gelişmiş siber hücumlara karşı 7/24 izleme, tespit, tahlil ve süratli müdahale imkânı sunar.
- Ele geçirilmiş hesap yahut sistem erişimlerinin kurum içinde yeni hücumlar için bir sıçrama noktası olarak kullanılmasını önlemek hedefiyle kimlik bilgilerinin sızdırılıp sızdırılmadığını tertipli olarak takip edin. Kaspersky Digital Footprint Intelligence, açık internet ve dark web kaynaklarını daima izleyerek mümkün tehditlere vaktinde müdahale edilmesini sağlar.
Kaspersky uzmanları, kişisel kullanıcılara ise şu tavsiyelerde bulunuyor:
- Yazılım indirirken dikkatli olun. Yazılım ve medya belgelerini sadece emniyetli kaynaklardan indirin. Bilhassa kuşkulu internet sitelerinden indirilen legal yazılımların içine ziyanlı yazılımlar gizlenmiş olabilir.
- Tüm cihazlarınızda Kaspersky Premium gibi güçlü bir güvenlik tahlili kullanın. Bu çeşit tahliller muhtemel tehditleri tespit ederek bulaşmayı önlemeye yardımcı olur.
- Çok faktörlü kimlik doğrulamayı (MFA) aktifleştirin ve hesaplarınızı tertipli olarak izleyin. Kimlik hesaplarınızda ve finans uygulamalarınızda iki faktörlü kimlik doğrulamayı kullanın; hesap hareketlerinizi tertipli olarak denetim ederek yetkisiz süreçleri erkenden tespit edin.
- İnternet sitelerinin gerçekliğini doğrulayın. URL’leri dikkatle denetim edin ve kurum ya da marka isimlerinde yazım farklılıkları olup olmadığını inceleyin.
Kaynak: (BYZHA) Beyaz Haber Ajansı


