Siber Suçlular Popüler E-Kitaplarla Kişisel Veri Çalıyor

Kaspersky Küresel Araştırma ve Analiz Ekibi, Türkiye, Mısır, Bangladeş ve Almanya’da e-kitap kullanıcılarını hedef alan kötü amaçlı yazılım kampanyasını ortaya çıkardı. Siber suçlular, popüler Türkçe ve Arapça e-kitapların görünümüne büründürdükleri gelişmiş zararlı yazılımlar aracılığıyla, kullanıcıların parolalarını, kripto para cüzdanlarını ve diğer hassas bilgilerini ele geçirmeye çalışmaktadır.

Kampanya ve Kötü Amaçlı Yazılımın Özellikleri

LazyGo olarak adlandırılan yeni bir Go tabanlı yükleyici kullanılarak dağıtılan bu kötü amaçlı yazılım hizmet modeli (malware-as-a-service) aracılığıyla çok sayıda kullanıcı hedeflenmektedir. Kampanya, Türkçe’de John Buchan’ın “39 Basamak” ve Tamer Koçel’in “İşletme Yöneticiliği” gibi eserlerden; Arapça’da şiir, folklor, dini pratikler ve edebiyat eleştirisi çalışmaları şeklindeki çeşitli metinlere yönelik aramalar yapan kullanıcıları kapsamaktadır.

Sahte E-Kitap Dosyalarının İşlevselliği

Kullanıcılar, görünümleri PDF dosyası olarak algılanan ancak gerçekte yürütülebilir programlar olan bu sahte e-kitapları indirmekte ve açmaktadır. Bu işlem sonucunda, LazyGo yükleyicisi StealC, Vidar ve ArechClient2 gibi bilgi hırsızları sistemlere yüklenmektedir. Kaspersky uzmanları, kampanyada API unhooking, AMSI atlatma, ETW devre dışı bırakma ve sanal makine tespitinden kaçınma gibi çeşitli gizlenme tekniklerini kullanan üç farklı LazyGo varyantı belirlemiştir.

Çalınan Bilgiler ve Ek Riskler

Saldırganlar tarafından ele geçirilen bilgiler arasında tarayıcı kayıtlı parolalar, çerezler, otomatik doldurma verileri ve gezinme geçmişi bulunmaktadır. Ayrıca kripto para cüzdan uzantıları, yapılandırma ve depolama dosyaları, AWS, Azure CLI ve Microsoft Identity Platform kimlik bilgileri, Discord, Telegram Desktop, Steam oturum bilgileri ile donanım ve yazılım verileri de hedef alınmaktadır. ArechClient2/SectopRAT ile enfekte olan sistemlerde, saldırganların tam uzaktan kontrol sağlaması nedeniyle ek güvenlik tehditleri oluşmaktadır.

Uzman Görüşü ve Öneriler

Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Yossef Abdelmonem, kampanyanın malware-as-a-service modelinin hedefli sosyal mühendislikle birleşmesinin ciddi bir tehdit oluşturduğunu vurgulamıştır. Çalınan geliştirici ve bulut kimlik bilgilerinin kurumsal altyapıya derin erişim sağlayabileceği nedeniyle kurumların bu risklere karşı dikkatli olması gerektiğini belirtmiştir.

Kampanyanın Yayılımı

Kaspersky telemetrisi, söz konusu kampanyanın kamu, eğitim, bilişim hizmetleri ve diğer birçok sektörde etkili olduğunu göstermektedir. Tehdit aktörleri, kötü amaçlı e-kitapları GitHub ve ele geçirilmiş web siteleri üzerinden yüklemeye devam etmekte, bu nedenle kampanya halen aktif olarak sürmektedir.

Kullanıcılar İçin Güvenlik Önerileri

Kaspersky uzmanları, e-kitap indirirken kaynakların doğrulanması, dosya niteliklerinin dikkatlice incelenmesi ve gelişmiş kaçınma yöntemlerini algılayabilen güncel güvenlik çözümlerinin kullanılması gerektiğini tavsiye etmektedir. Ayrıca, bağımsız testlerde yüksek kötü amaçlı yazılım tespit oranına sahip ürünlerin tercih edilmesi önem taşımaktadır. AV-Comparatives’in değerlendirmesine göre Kaspersky Premium, 9.995 dosya üzerinde yüzde 99,99 tespit oranı sunarak güçlü koruma sağlamaktadır.

Kaynak: BYZHA