Web reklamları aracılığıyla yayılan ve Windows PC kullanıcılarını hedef alan kötü amaçlı kampanyaların yeni bir dalgası Kaspersky tarafından keşfedildi. Bu saldırıda kullanıcılar internette gezinirken farkında olmadan tüm ekranı kaplayan bir reklama tıklayarak sahte bir CAPTCHA sayfasına veya hırsızlık yazılımlarını indirmek için adımları takip etmelerini isteyen sahte bir Chrome hata mesajına yönlendiriliyor. Kaspersky telemetrisi, Eylül ve Ekim 2024’te bu kötü amaçlı reklamların 140 binden fazla ortaya kez çıktığını kaydetti ve 20 binden fazla kullanıcı kötü amaçlı komut dosyaları barındıran sahte sayfalara yönlendirildi. Bu tehdit LATAM, Afrika, Orta Doğu ve Asya dahil olmak üzere birçok bölgedeki kullanıcılara ulaştı. Uzmanlar, güvende kalmak için kullanıcılara dikkatli olmalarını ve çevrimiçi eylemlerinde şüpheli istemleri takip etmekten kaçınmalarını tavsiye ediyor.
CAPTCHA, kullanıcının insan mı yoksa otomatik bir program ya da bot mu olduğunu doğrulamak için web sitelerinde ve uygulamalarda kullanılan bir güvenlik özelliği. Bu yılın başlarında, siber saldırganların sahte CAPTCHA’lar kullanarak Lumma hırsızını dağıttığına ve özellikle oyuncuları hedef aldığına dair raporlar geldi. Kullanıcılar oyun web sitelerinde gezinirken, tüm ekranı kaplayan bir reklama tıklamaları için kandırılıyordu. Ardından kullanıcılar sahte bir CAPTCHA sayfasına yönlendiriliyor ve sayfanın altında yer alan talimatlarla hırsızlık yazılımını indirmeleri için kandırılıyordu. Kullanıcılar “Ben robot değilim” düğmesine tıkladıklarında, bilgisayarlarının panosuna şifrelenmiş bir Windows PowerShell komutu kopyalanıyor, daha sonra bu komutu terminal kutusuna yapıştırmaları ve Enter tuşuna basmaları isteniyordu. Böylece Lumma indiriliyor ve başlatılıyordu. Kötü amaçlı yazılım, kurbanın cihazında kripto para birimiyle ilgili dosyaları, çerezleri ve şifre yöneticisi verilerini arıyor. Ayrıca çeşitli e-ticaret platformlarının web sayfalarını ziyaret ederek görüntülenme sayılarını artırıyor ve saldırganlara ek mali kazanç sağlıyor.
Kötü amaçlı talimatlar içeren sahte bir CAPTCHA
Yeni saldırı dalgasında Kaspersky araştırmacıları, CAPTCHA yerine Chrome web tarayıcısında bir hizmet mesajı gibi görünecek şekilde tasarlanmış web sayfası hata mesajının yer aldığı başka bir saldırı senaryosu daha tespit etti. Saldırganlar, kullanıcıya terminal penceresine “düzeltmeyi kopyalaması” talimatını veriyordu (düzeltme, yukarıda açıklanan kötü amaçlı PowerShell komutuyla aynı içeriğe sahip).
Google Chrome’u taklit eden bir sahte mesaj
Kaspersky, yeni saldırı dalgasının yalnızca oyuncuları değil, diğer grupları da hedef aldığını ve dosya paylaşım hizmetleri, web uygulamaları, bahis portalları, yetişkinlere yönelik içerik sayfaları, anime toplulukları ve diğer kanallar aracılığıyla dağıtıldığını keşfetti. Saldırganlar bu saldırı dalgasında Amadey Truva atını da kullanıyor. Bu da tıpkı Lumma gibi popüler tarayıcılardan ve kripto para cüzdanlarından kimlik bilgilerini çalıyor. Ancak aynı zamanda ekran görüntüleri kaydedebiliyor, uzaktan erişim hizmetleri için kimlik bilgilerini alabiliyor ve kurbanın cihazına bir uzaktan erişim aracı indirerek saldırganların tam erişim elde etmesini sağlıyor.
Kaspersky Güvenlik Uzmanı Vasily Kolesnikov, şunları söylüyor: “Saldırganlar bazı reklam alanları satın aldılar ve bir kullanıcı bu reklamı görüp tıkladığında, yaygın bir saldırı taktiği olan kötü amaçlı kaynaklara yönlendirdiler. Bu kampanyanın yeni dalgası, önemli ölçüde genişletilmiş bir dağıtım ağını ve daha fazla kurbana ulaşan yeni bir saldırı senaryosunu içeriyor. Devamında kullanıcılar sahte bir CAPTCHA istemi ya da Chrome web sayfası hata mesajı ile kandırılarak yeni işlevlere sahip bir hırsızlığın kurbanı olabiliyor. Kurumsal kullanıcılar ve bireyler, internette gördükleri şüpheli yönlendirmeleri takip etmeden önce dikkatli olmalı ve eleştirel düşünmeliler.”
Securelist‘te daha fazla bilgi bulabilirsiniz.
Hırsızlıkla ilgili tehditleri engellemek için Kaspersky aşağıdakileri öneriyor:
İşletmeler:
- Şirketinizin cihazlarının veya web uygulamalarının kimlik bilgilerinin hırsızlar tarafından ele geçirilip geçirilmediğini özel Kaspersky Digital Footprint Intelligence açılış sayfasından kontrol edin;
- Uygulama ve web kontrolüne sahip Kaspersky Endpoint Security for Business gibi özel bir güvenlik çözümü kullanın. Bu çözüm davranış analizi, kötü amaçlı etkinliklerin hızla tespit edilmesine yardımcı olur;
- Personel için kapsamlı siber eğitimler sunan çevrimiçi bir araç kullanarak siber riskleri insani yönden en aza indirmek için çalışanlarınızın dijital okuryazarlığını artırmaya bakın.
Bireyler:
- Şüpheli sayfaların veya kimlik avı e-postalarının açılmasını önlemek için tüm cihazlarınızda ödüllü Kaspersk
y Premium gibi kapsamlı bir güvenlik çözümü kullanın; - parolalarınızı güvenli bir şekilde saklamak için Kaspersky Password Manager kullanın.
