SALDIRININ HIZLA YAYILMASI
Bu saldırıda, kullanıcılar internet üzerinde gezerken farkında olmadan ekranlarını kaplayan reklamlara tıklayarak sahte CAPTCHA sayfalarına veya kötü amaçlı yazılım indirmek için gereken adımların gösterildiği sahte Chrome hata mesajlarıyla karşılaşıyorlar. Kaspersky telemetrisi, Eylül ve Ekim 2024’te bu kötü niyetli reklamlara 140 binden fazla kez rastlandığını ve 20 binden fazla kullanıcının kötü amaçlı komut dosyaları barındıran sahte sayfalara yönlendirildiğini belirtiyor. Tehdit, LATAM, Afrika, Orta Doğu ve Asya gibi birçok bölgedeki kullanıcıları hedef alıyor. Uzmanlar, kullanıcılara çevrimiçi işlemlerinde dikkatli olmalarını ve şüpheli taleplere cevap vermekten kaçınmalarını öneriyor.
KULLANICI HİMAYESİNE İHTİYAÇ
CAPTCHA, web siteleri ve uygulamalarda kullanıcının insan mı yoksa otomatik bir program mı olduğunu doğrulayan bir güvenliği sağlamanın temeli olarak öne çıkıyor. Bu yılın başlarında, siber saldırganların sahte CAPTCHA’lar aracılığıyla Lumma hırsızını dağıttığı ve özellikle oyuncuları hedef aldığına dair raporlar alındı. Kullanıcılar, oyun web sitelerinde gezinirken ekranlarını kaplayan reklamlara tıklamaları için kandırılıyor. Sonrasında, sahte CAPTCHA sayfasına yönlendirilen kullanıcılar, sayfanın altında bulunan talimatlarla hırsızlık yazılımını indirmeleri için manipüle ediliyor. Kullanıcılar “Ben robot değilim” seçeneğine tıkladıklarında, bilgisayarlarının panosuna şifrelenmiş bir Windows PowerShell komutu kopyalanıyor ve ardından bu komutun terminale yapıştırılması ve Enter tuşuna basmaları isteniyor. Böylelikle Lumma kötü amaçlı yazılımı indiriliyor ve başlatılıyor.
KÖTÜ AMAÇLI YAZILIMIN ETKİLERİ
Kötü amaçlı yazılım, kurbanın cihazında kripto para birimi ile ilgili dosyaları, çerezleri ve şifre yöneticisi verilerini arıyor. Ek olarak, çeşitli e-ticaret platformlarının web sayfalarını ziyaret ederek görüntülenme sayılarını artırıyor ve bu durum saldırganlara ek mali kazançlar sağlıyor. Kaspersky araştırmacıları, yeni saldırı dalgasında CAPTCHA yerine Chrome tarayıcısında bir hizmet mesajı şeklinde tasarlanmış bir hata mesajının bulunduğu başka bir saldırı senaryosu daha tespit etti. Saldırganlar, kullanıcıya terminal penceresine “düzeltmeyi kopyalaması” talimatını veriyor ve bu düzeltme yukarıda açıklandığı gibi kötü amaçlı PowerShell komutuyla aynı içeriğe sahip. Kaspersky, bu yeni kötü amaçlı saldırının yalnızca oyuncuları hedef almadığını, aynı zamanda diğer grupları da etkilediğini ve dosya paylaşım hizmetleri, web uygulamaları, bahis portalları gibi pek çok farklı kanaldan yayıldığını keşfetti.
BİR SONRAKİ SALDIRI DALGASI
Saldırganlar bu yeni dalgada Amadey Truva atını da kullanıyor. Bu da Lumma gibi popüler tarayıcılardan ve kripto para cüzdanlarından kimlik bilgilerini çalabiliyor. Bunun yanı sıra, ekran görüntüleri kaydedebiliyor, uzaktan erişim hizmetleri için kimlik bilgilerini elde edebiliyor ve kurbanın cihazına bir uzaktan erişim aracı indirerek saldırganların tam erişim sağlamasına yardımcı oluyor. Kaspersky Güvenlik Uzmanı Vasily Kolesnikov, “Saldırganlar bazı reklam alanları satın aldılar ve bir kullanıcı bu reklamı gördüğünde, yaygın bir saldırı taktiği olarak kötü niyetli kaynaklara yönlendiriliyor. Bu kampanyanın yeni dalgası, önemli ölçüde genişletilmiş bir dağıtım ağı ve daha fazla kurbana ulaşan yeni bir saldırı senaryosunu içeriyor. Kullanıcılar sahte bir CAPTCHA isteği ya da Chrome hata mesajı ile kandırılarak yeni işlevlere sahip bir hırsızlıkla karşılaşabiliyor. Kurumsal kullanıcılar ve bireyler internette gördükleri şüpheli yönlendirmeleri takip etmeden önce dikkatli olmalı ve eleştirel düşünmelidir.” şeklinde açıklama yapıyor.