Siber güvenlik araştırmacıları, bir VPN kimlik avı sitesi aracılığıyla dağıtılan “Cheana Stealer” kötü amaçlı yazılımını kullanan karmaşık bir kimlik avı kampanyasını ortaya çıkardı. Bu saldırı, Windows, Linux ve macOS dahil olmak üzere çeşitli işletim sistemlerindeki kullanıcıları hedeflemesiyle dikkat çekiyor.
Cheana Stealer kampanyası, meşru bir VPN sağlayıcısını taklit etmek için tasarlanmış bir kimlik avı sitesi aracılığıyla yürütülmüştür. WarpVPN hizmetinin görünümünü taklit eden bu site, bireyleri farklı işletim sistemleri için VPN uygulamaları indirmeye çekmek için özel olarak tasarlanmıştır.
Saldırganlar, hedeflenen her işletim sistemi için Cheana Stealer’ın ayrı ikili dosyalarını oluşturarak erişimlerini en üst düzeye çıkarma çabalarını ortaya koydular.
Cheana Stealer Kampanyasına Genel Bakış
Cyble Research and Intelligence Lab’a (CRIL) göre, Cheana Stealer kötü amaçlı yazılımı, farklı yöntemlerle birden fazla işletim sistemindeki kullanıcıları hedef alıyor. Windows için kötü amaçlı yazılım, install.bat adlı bir toplu iş dosyasını çalıştıran bir PowerShell betiği aracılığıyla teslim ediliyor.
Bu script ilk önce kurbanın sisteminde Python olup olmadığını kontrol eder, eğer bulunamazsa Python’ı pip ve virtualenv gibi araçlarla birlikte kurar.
Daha sonra hassas bilgileri çalmak için tasarlanmış hclockify-win adlı kötü amaçlı bir Python paketi yükler. Bu paket, kripto para tarayıcı uzantılarını ve bağımsız cüzdanları hedef alır, çalınan verileri saldırganların komuta ve kontrol (C&C) sunucusuna gönderilen bir ZIP dosyasına sıkıştırır. Ek olarak, depolanan tarayıcı parolalarını Chromium tabanlı tarayıcılardan ve Firefox’tan çıkarır.
Linux sistemlerinde Cheana Stealer, install-linux.sh adlı bir betiği indiren curl komutu aracılığıyla dağıtılır.
Bu betik, izleme amaçlı benzersiz bir kimlik alır ve tarayıcı verileri, kripto para cüzdanı ayrıntıları ve SSH anahtarları gibi hassas bilgileri toplar; bunlar daha sonra saldırganların sunucusuna sızdırılır.
macOS kullanıcıları için ise zararlı yazılım, install.sh adlı bir betik aracılığıyla dağıtılıyor.
Tbetik, kullanıcıları sahte istemlerle kimlik bilgilerini girmeye kandırır ve ardından tarayıcı oturum açma verilerini, macOS parolalarını ve Keychain bilgilerini toplar. Bu ayrıntılar daha sonra C&C sunucusuna gönderilir.
Cheana Stealer, tüm platformlarda sistem açıklarını ve kullanıcı güvenini kullanarak hassas bilgileri sızdırarak daha iyi güvenlik önlemlerine ihtiyaç duyulduğunu ortaya koyuyor.
Telegram Kanalının Rolü ve Teknik Analiz
Cheana Stealer kampanyasıyla ilişkilendirilen kimlik avı sitesi, 54.000’den fazla abonesi olan bir Telegram kanalıyla bağlantılıdır. En az 2018’den beri aktif olan bu kanal, kimlik avı sitesinin 2021’de biyografisine eklenmesiyle birlikte operatörlerde birkaç değişikliğe uğradı. Kanal, Cheana Stealer dağıtımına geçmeden önce kötü amaçlı içerik yayma ve kullanıcı güveni kazanmada etkili oldu.
Telegram kanalı başlangıçta, güvenilirlik oluşturmak için bu kisveyi kullanarak ücretsiz VPN hizmetleri gibi görünen şeyler sundu. Bir kullanıcı tabanı oluşturulduktan sonra, kanal, kötü amaçlı yazılım dağıtmak için kazanılan güveni kullanarak kimlik avı sitesini tanıtmaya yöneldi.
Cheana Stealer kampanyası titizlikle hazırlanmış bir teknik strateji kullanıyor. WarpVPN olarak poz veren kimlik avı sitesi, çeşitli işletim sistemleri için ayrıntılı ancak yanıltıcı kurulum talimatları sunuyor.
Bu talimatlar kullanıcıları meşru uygulamalar gibi görünen kötü amaçlı yazılımları yüklemeye yönlendiriyor.
Kötü amaçlı yazılım Windows, Linux ve macOS için özelleştirilmiştir, her sürüm belirli hassas verileri çıkarmak için tasarlanmıştır. Mağdurun sistemine sorunsuz bir şekilde entegre olur ve etkili veri toplanmasını sağlar.
Toplandıktan sonra çalınan veriler arşivlenir ve HTTPS üzerinden saldırganların sunucusuna gönderilir, bu da iletim sırasında güvenliği sağlar ve tespiti daha zor hale getirir. Bu karmaşık yaklaşım, kullanıcıların dikkatli olmaları ve sağlam güvenlik önlemleri kullanmaları gerektiğini vurgular.
Azaltma Stratejileri
Cheana Stealer kampanyasından gelenler gibi kimlik avı saldırılarına karşı korunmak için kullanıcılar birkaç önemli öneriyi takip etmelidir. İlk olarak, kötü amaçlı sürümlerden kaçınmak için VPN uygulamalarını ve diğer yazılımları her zaman saygın kaynaklardan indirin. Farkındalık kampanyaları kullanıcıların kimlik avı girişimlerini tanımasına ve VPN hizmetlerinin meşruiyetini doğrulamalarına yardımcı olabilir.
Ek olarak, gelişmiş uç nokta koruma çözümlerinin dağıtılması kötü amaçlı komut dosyalarının algılanmasına ve engellenmesine yardımcı olabilir. Bu araçların düzenli olarak güncellenmesi, etkinliklerinin sürdürülmesi için önemlidir. Güvenlik araçlarıyla ağ trafiğinin izlenmesi, bilinen komuta ve kontrol sunucularıyla iletişimi önleyerek başka bir savunma katmanı ekleyebilir. Çok Faktörlü Kimlik Doğrulama’nın (MFA) etkinleştirilmesi, kimlik bilgileri tehlikeye atılsa bile yetkisiz erişim riskini azaltan ek bir güvenlik katmanı sağlar.
Ayrıca, iyi geliştirilmiş bir olay müdahale planına sahip olmak çok önemlidir. Bu plan, kötü amaçlı yazılım enfeksiyonlarını hızla ele almak ve yönetmek için düzenli olarak güncellenmelidir. Cheana Stealer kampanyası, meşru bir VPN hizmeti gibi görünerek kullanıcı güvenini suistimal eden karmaşık bir kimlik avı saldırısının örneğidir.
Farklı işletim sistemlerine özel kötü amaçlı yazılımların kullanılması ve Telegram kanalının stratejik kullanımı, kampanyanın karmaşıklığını ortaya koyuyor.