Siber hatalılar, şahsî bilgileri çalmak için tanınan e-kitapları yem olarak kullanıyor

Kaspersky Global Araştırma ve Tahlil Takımı, Türkiye, Mısır, Bangladeş ve Almanya genelinde e-kitap okurlarını maksat alan berbat emelli bir yazılım hizmet modeli kampanyasını ortaya çıkardı. Siber hatalılar, en çok okunan Türkçe ve Arapça kitapların görünümüne büründürdükleri gelişmiş makûs maksatlı yazılımları kullanarak yüzlerce kullanıcıyı, parolalarını, kripto para cüzdanlarını ve başka hassas bilgilerini çalan belgeleri indirmeye yönlendiriyor.

Kaspersky, LazyGo ismi verilen ve bilgi hırsızlığı yapan çeşitli makûs maksatlı yazılımları dağıtan yeni bir Go tabanlı yükleyiciyi kullanan makûs hedefli yazılım hizmeti modeli (malware-as-a-service (MaaS)) kampanyası tespit etti. Kampanya, Türkçe’ye çevrilmiş John Buchan’ın “39 Basamak” gibi tanınan yapıtlardan, şiir, folklor ve dini pratiklere yönelik Arapça metinlere kadar geniş bir yelpazede arama yapan kullanıcıları gaye alıyor. Düzmece e-kitaplar, Tamer Koçel’in “İşletme Yöneticiliği” üzere Türkçe işletme idaresi kitaplarından çağdaş kurgu yapıtlarına ve “Umman Sultanlığı’nda Edebi ve Dilbilimsel Hareket” üzere Arapça edebiyat eleştirisi çalışmalarına kadar çeşitlilik gösteriyor.

Kötü hedefli belgeler PDF e-kitap üzere görünse de aslında PDF simgesi taşıyan yürütülebilir programlar. Kullanıcılar bu uydurma kitapları indirip açtığında, LazyGo yükleyicisi StealC, Vidar ve ArechClient2 üzere bilgi hırsızlarını sistemlere yerleştiriyor. Kaspersky araştırmacıları, API unhooking, AMSI atlatma, ETW devre dışı bırakma ve sanal makine tespitinden kaçınma üzere farklı gizlenme teknikleri kullanan üç farklı LazyGo varyantı tespit etti. 

Saldırganların çaldığı bilgiler şunları içeriyor:

• Tarayıcı verileri: Chrome, Edge, Firefox ve öbür tarayıcılardan kayıtlı parolalar, çerezler, otomatik doldurma bilgileri ve tarama geçmişi.
• Finansal varlıklar: Kripto para cüzdanı uzantıları, yapılandırma evrakları ve depolama dataları.
• Geliştirici kimlik bilgileri: AWS kimlik bilgileri, Azure CLI belirteçleri ve Microsoft Identity Platform belirteçleri.
• İletişim platformları: Discord belirteçleri, Telegram Desktop bilgileri ve Steam oturum bilgileri.
• Sistem bilgileri: Donanım özellikleri, yüklü yazılımlar ve çalışan süreçler.

ArechClient2/SectopRAT ile enfekte olan kurbanlar, saldırganların sistem üzerinde tam uzaktan denetim elde etmesi nedeniyle ek bir riskle karşı karşıya kalıyor.

Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Yossef Abdelmonem: “Bu kampanyayı bilhassa kaygı verici kılan öge, malware-as-a-service modelinin maksatlı toplumsal mühendislik ile birleştirilmiş olmasıdır. LazyGo yükleyicisinin farklı varyantları ve gelişmiş kaçınma teknikleri, bunun sıradan bir siber hata teşebbüsü olmadığını; kimlik bilgilerini geniş ölçekte toplamak maksadıyla kurgulanmış yapılandırılmış bir operasyon olduğunu gösteriyor. Kurumsal altyapıya derin erişim sağlayabileceği için çalınan geliştirici belirteçleri ve bulut kimlik bilgilerinin oluşturduğu risklere karşı kurumların bilhassa dikkatli olması gerekiyor.”

Kaspersky’nin telemetrisi, kampanyanın kamu kurumları, eğitim kurumları, BT hizmetleri ve öteki dalları etkilediğini gösteriyor. Tehdit aktörleri, makus emelli e-kitapları GitHub’a ve ele geçirilmiş web sitelerine tertipli olarak yüklemeye devam ettiği için kampanya hala faal durumda.

Kaspersky uzmanları, kullanıcıların e-kitap indirmeden evvel kaynakları doğrulamasını, belge özelliklerini dikkatle incelemesini ve gelişmiş kaçınma tekniklerini algılayabilecek yeni bir güvenlik tahlili kullanmasını öneriyor. Güvenlik tahlili seçerken, bağımsız testlerle doğrulanmış güçlü makûs maksatlı yazılım tarama yeteneklerine sahip eserlere yönelmek değer taşıyor. AV-Comparatives tarafından gerçekleştirilen son değerlendirmeye göre, Kaspersky Premium, 9.995 belgeden oluşan test setinde yüzde 99,99 makus gayeli yazılım belirleme oranı göstererek yüksek seviyede muhafaza sağladığını kanıtladı.

Kaynak: (BYZHA) Beyaz Haber Ajansı