Siber hatalılar, ferdî bilgileri çalmak için tanınan e-kitapları yem olarak kullanıyor

Kaspersky Global Araştırma ve Tahlil Grubu, Türkiye, Mısır, Bangladeş ve Almanya genelinde e-kitap okurlarını maksat alan makus gayeli bir yazılım hizmet modeli kampanyasını ortaya çıkardı. Siber hatalılar, en çok okunan Türkçe ve Arapça kitapların görünümüne büründürdükleri gelişmiş berbat emelli yazılımları kullanarak yüzlerce kullanıcıyı, parolalarını, kripto para cüzdanlarını ve başka hassas bilgilerini çalan belgeleri indirmeye yönlendiriyor.

Kaspersky, LazyGo ismi verilen ve bilgi hırsızlığı yapan çeşitli makus emelli yazılımları dağıtan yeni bir Go tabanlı yükleyiciyi kullanan makûs hedefli yazılım hizmeti modeli (malware-as-a-service (MaaS)) kampanyası tespit etti. Kampanya, Türkçe’ye çevrilmiş John Buchan’ın "39 Basamak" gibi tanınan yapıtlardan, şiir, folklor ve dini pratiklere yönelik Arapça metinlere kadar geniş bir yelpazede arama yapan kullanıcıları maksat alıyor. Düzmece e-kitaplar, Tamer Koçel’in “İşletme Yöneticiliği” üzere Türkçe işletme idaresi kitaplarından çağdaş kurgu yapıtlarına ve “Umman Sultanlığı’nda Edebi ve Dilbilimsel Hareket” üzere Arapça edebiyat eleştirisi çalışmalarına kadar çeşitlilik gösteriyor.

Kötü gayeli belgeler PDF e-kitap üzere görünse de aslında PDF simgesi taşıyan yürütülebilir programlar. Kullanıcılar bu uydurma kitapları indirip açtığında, LazyGo yükleyicisi StealC, Vidar ve ArechClient2 üzere bilgi hırsızlarını sistemlere yerleştiriyor. Kaspersky araştırmacıları, API unhooking, AMSI atlatma, ETW devre dışı bırakma ve sanal makine tespitinden kaçınma üzere farklı gizlenme teknikleri kullanan üç farklı LazyGo varyantı tespit etti. 

Saldırganların çaldığı bilgiler şunları içeriyor:

• Tarayıcı verileri: Chrome, Edge, Firefox ve öbür tarayıcılardan kayıtlı parolalar, çerezler, otomatik doldurma bilgileri ve tarama geçmişi.
• Finansal varlıklar: Kripto para cüzdanı uzantıları, yapılandırma belgeleri ve depolama bilgileri.
• Geliştirici kimlik bilgileri: AWS kimlik bilgileri, Azure CLI belirteçleri ve Microsoft Identity Platform belirteçleri.
• İletişim platformları: Discord belirteçleri, Telegram Desktop bilgileri ve Steam oturum bilgileri.
• Sistem bilgileri: Donanım özellikleri, yüklü yazılımlar ve çalışan süreçler.

ArechClient2/SectopRAT ile enfekte olan kurbanlar, saldırganların sistem üzerinde tam uzaktan denetim elde etmesi nedeniyle ek bir riskle karşı karşıya kalıyor.

Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Yossef Abdelmonem: “Bu kampanyayı bilhassa telaş verici kılan öge, malware-as-a-service modelinin gayeli toplumsal mühendislik ile birleştirilmiş olmasıdır. LazyGo yükleyicisinin farklı varyantları ve gelişmiş kaçınma teknikleri, bunun sıradan bir siber kabahat teşebbüsü olmadığını; kimlik bilgilerini geniş ölçekte toplamak gayesiyle kurgulanmış yapılandırılmış bir operasyon olduğunu gösteriyor. Kurumsal altyapıya derin erişim sağlayabileceği için çalınan geliştirici belirteçleri ve bulut kimlik bilgilerinin oluşturduğu risklere karşı kurumların bilhassa dikkatli olması gerekiyor.”

Kaspersky’nin telemetrisi, kampanyanın kamu kurumları, eğitim kurumları, BT hizmetleri ve öbür dalları etkilediğini gösteriyor. Tehdit aktörleri, berbat gayeli e-kitapları GitHub’a ve ele geçirilmiş web sitelerine tertipli olarak yüklemeye devam ettiği için kampanya hala etkin durumda.

Kaspersky uzmanları, kullanıcıların e-kitap indirmeden evvel kaynakları doğrulamasını, evrak özelliklerini dikkatle incelemesini ve gelişmiş kaçınma tekniklerini algılayabilecek yeni bir güvenlik tahlili kullanmasını öneriyor. Güvenlik tahlili seçerken, bağımsız testlerle doğrulanmış güçlü makus hedefli yazılım tarama yeteneklerine sahip eserlere yönelmek kıymet taşıyor. AV-Comparatives tarafından gerçekleştirilen son değerlendirmeye göre, Kaspersky Premium, 9.995 belgeden oluşan test setinde yüzde 99,99 berbat gayeli yazılım belirleme oranı göstererek yüksek seviyede müdafaa sağladığını kanıtladı.

 

Kaynak: (BYZHA) Beyaz Haber Ajansı