Casus yazılımlarda bir whatsapp kusur

Siber suç, sahtekarlık yönetimi ve siber suç, olay ve ihlal yanıtı

Ayrıca: Fransa, Pavel Durov’un Seyahat Yasağını Telgraf Probu’nun ortasında geçici olarak kaldırıyor

Anviksha More (Anvikshamore) •
20 Mart 2025

ISMG her hafta dünyanın dört bir yanındaki siber güvenlik olaylarını ve ihlallerini tamamlıyor. Bu hafta Paragon Solutions bir WhatsApp sıfır gününü kullandı, Fransa geçici olarak Pavel Durov’un seyahat yasağını kaldırdı, buhar kötü amaçlı yazılım 60 milyon Android kullanıcıya çarptı, eyalet destekli hackerlar, Western Alliance Bank’ın ihlali, 22.000 müşteri verilerini açıkladı, Apple bir şifre uygulama hatası ve bir California sperm bankası maruz kalan müşteri bilgilerini düzeltti.

Ayrıca bakınız: Dijital adli tıp ve olay yanıtı için Gartner Rehberi

Toronto Üniversitesi Citizen Lab’daki araştırmacılar, Paragon Solutions ile bağlantılı casus yazılım saldırılarını analiz ettiler ve Meta’nın WhatsApp mesajlaşma uygulamasında sıfır gün güvenlik açığını ortaya çıkardılar.

Paragon, rakip NSO Grubu tarafından yapılan yazılımlarla devam eden casus yazılım istismarlarına karşı korumaları iddia ederek kendisini farklılaştırmaya çalışan bir avuç İsrail merkezli ticari gözetim şirketinden biridir.

Citizen Lab araştırmacıları, Paragon’un grafit casus yazılımlarını sunmak için WhatsApp Grubu sohbetleri aracılığıyla gönderilen kötü niyetli PDF dosyalarını kullanan saldırganları buldu ve hiçbir kullanıcı etkileşimi gerektirmeyen bir güvenlik açığından yararlandı. Alındığında, kurbanın cihazı dosyayı otomatik olarak işledi ve casus yazılımların WhatsApp’a sızmasına ve diğer uygulamaları tehlikeye atmak için kum havuzunun ötesine yayılmasına izin verdi.

Gazeteciler ve sivil toplum üyeleri de dahil olmak üzere 24’ten fazla ülkede en az 90 kişi hedeflendi. Casus yazılım, saldırganlara kurbanların mesajlaşma uygulamalarına erişmesini sağladı. Bazı kurbanlar İtalya’daki sivil toplumun üyesiydi. WhatsApp, Aralık 2024’te istismar tespit etti ve etkisiz hale getirdi ve kullanıcıların uygulamalarını güncellemelerini gerektirmeden güvenlik açığını sunucu tarafı düzeltmesi yoluyla ele aldı. CVE tanımlayıcısı atanmadı.

Citizen Lab’ın altyapı analizi, Meta’nın Paragon’a yönelik daha geniş soruşturmasında önemli bir rol oynadı, bu da WhatsApp’ın saldırıyı izlemesine ve azaltmasına yardımcı oldu. 31 Ocak’ta Whatsapp yaklaşık 90 etkilenen kullanıcıyı bildirdi.

İtalya’daki çoklu cihazların adli analizi, Paragon ile bağlantılı enfeksiyonları doğruladı ve araştırmacılar “BigPretzel” adlı farklı bir eser tanımladı. Mağdurlar arasında Fanpage.it’in genel yayın yönetmeni Francesco Cancellato ve Akdeniz’deki göçmen kurtarma çabalarına katılan kar amacı gütmeyen Mediterranea kurtarma insanları vardı.

İtalyan hükümeti herhangi bir katılımı reddetti. Paragon müşterisi olduğunu kabul etti, ancak gazetecilerin ve aktivistlerin hedefleri arasında olmadığını söyledi. Kamu incelemesinin ardından yetkililer, Paragon’un casus yazılım kullanımının geçici olarak askıya alınmasını daha fazla soruşturma beklemede olduğunu duyurdu.

Fransız yetkililer, Telegram CEO’su Pavel Durov’daki seyahat kısıtlamalarını geçici olarak kaldırdı ve platformdaki suç faaliyetlerine yönelik bir soruşturma devam ederken ülkeyi terk etmesine izin verdi. Durov, Dubai’ye döndüğünü doğruladı ve yetkililere ve hukuk ekibine destekleri için teşekkür etti.

Durov, Ağustos 2024’te Telegram’ın sahtekarlık, uyuşturucu kaçakçılığı ve yasadışı içerik dağıtımını kolaylaştırdığı iddiaları nedeniyle Paris yakınlarındaki Le Bourget havaalanında tutuklandı. 5 milyon euro kefaletle serbest bırakıldı, ancak Fransa’dan ayrılmaktan yasaklandı. Seyahat yasağı 15 Mart – 7 Nisan tarihleri ​​arasında askıya alındı.

Tutuklanmasından bu yana Telegram, kullanıcıların telefon numaralarını ve IP adreslerini geçerli mahkeme emirleri altında kolluk kuvvetleriyle paylaşmaya başladı ve yasadışı içeriği engelleme çabalarını artırdı.

Google Play’de 331 kötü amaçlı uygulama aracılığıyla 60 milyondan fazla Android cihaza enfekte olan IAS Tehdit Laboratuvarı tarafından “Vapor” olarak adlandırılan büyük ölçekli bir kötü amaçlı yazılım kampanyası. Fitness izleyicileri, QR tarayıcıları ve not alma araçları gibi kamu hizmetleri olarak gizlenen bu uygulamalar, reklam sahtekarlığı ve kimlik bilgilerini ve ödeme ayrıntılarını hedefleyen kimlik avı saldırılarıyla uğraşır.

IAS başlangıçta günde 200 milyon hileli reklam teklif talebi üreten 180 uygulama tespit etti. Bitdefender daha sonra Brezilya, ABD, Meksika, Türkiye ve Güney Kore’de bildirilen enfeksiyonlarla listeyi 331’e genişletti. Bu uygulamalar, ilk başta meşru görünerek ve kurulumdan sonra kötü amaçlı güncellemeler indirerek Google Play’in güvenlik kontrollerini atladı. Etkin olduktan sonra, simgelerini sakladılar, Google Voice gibi güvenilir uygulamaları taklit etmek için yeniden adlandırdılar ve giriş bilgileri ve kredi kartı ayrıntılarını çalmak için kimlik avı ekranlarını aştılar. Bazı kullanıcıları gezinme düğmelerini devre dışı bırakarak tam ekran reklamlarına kilitledi.

Google o zamandan beri tanımlanmış tüm buhar uygulamalarını kaldırdı.

Yaklaşık bir düzine devlet destekli hackleme grubu, 2017’ye tarihlenen kampanyalarda, ZDI-CAN-25373 olarak izlenen bir Windows güvenlik kusurunu kullandı. Trend Sıfır Günü girişiminden gelen araştırmacıları, “Dosyayı Windows tarafından sağlanan kullanıcı arayüzünü kullanarak inceledikten sonra, kurban dosyanın kötü niyetli içerik içerdiğini söyleyemeyecektir.” ZDI-CAN-25373’ten yararlanan devlet destekli tehdit aktörlerinin neredeyse yarısı Kuzey Kore’den geliyor gibi görünüyor. Devlet aktörleri ayrıca Çin, İran ve Rusya’dan gruplar içeriyor.

Trend Micro yaklaşık 1.000 kötü niyetli buldu .LNK Evil Corp, Kimuky, Koni, Acı ve Scarcruft gibi gruplarla bağlantılı eserler. Birincil hedefler arasında hükümetler, finans firmaları, telekom sağlayıcıları ve ABD, Kanada, Güney Kore, Vietnam ve Brezilya’daki askeri ajanslar bulunmaktadır.

Kötü niyetli Windows kısayol dosyaları, Lumma Stealer, Guloader ve Remcos Rat gibi kötü amaçlı yazılımlar için bir araç görevi görür. Evil Corp, kusuru ahududu robin kötü amaçlı yazılım yaymak için kullandı. Riske rağmen Trend Micro, Microsoft’un sorunu düşük bir şiddet olarak sınıflandırdığını ve bir düzeltme yayınlama planının olmadığını söyledi.

Arizona merkezli Western Alliance Bank, yaklaşık 22.000 müşteriye, Ekim 2024’te verilerinin çalındığını ve üçüncü taraf bir dosya aktarım yazılımı kırılganlığından yararlandığını bildirdi. İlk olarak Şubat ayında açıklanan ihlal, Western Alliance sistemlerinden dosyaları söndüren saldırganları içeriyordu.

Çalıntı veriler isimleri, sosyal güvenlik numaralarını, doğum tarihlerini, finansal hesap detaylarını ve kimlik belgelerini içerir. Western Alliance Bank, Rusça konuşan klop fidye yazılımı çetesinin geçen Aralık ayında Cleo Communications tarafından oluşturulan yönetilen dosya transfer yazılımına karşı toplu saldırı sırasında hacklediğini iddia ettiği düzinelerce firmadan biridir (bkz: bkz: Online gasp çete klopu Cleo Hacking kurbanlarını tehdit ediyor).

Apple, kullanıcıları üç aydan fazla bir süredir kimlik avı saldırılarına karşı savunmasız bırakan iOS 18.2 şifreleri uygulamasında bir kusur yamaladı. MySK’daki güvenlik araştırmacıları, uygulamanın, bağlantıları açmak ve simgeleri almak için şifrelenmemiş HTTP bağlantıları kullandığını ve kullanıcıları saldırganlar tarafından müdahale ve yeniden yönlendirmeye maruz bıraktığını buldu. Şifre sıfırlama sayfaları için HTTP’ye varsayılan olarak kimlik avı risklerini artırdı.

Apple artık varsayılan olarak HTTPS’yi zorladı ve güvenli bağlantılar sağladı.

Amerika Birleşik Devletleri’nin en büyük sperm bankası California Cryobank, müşteri bilgilerini ortaya çıkaran bir veri ihlali açıkladı. Şirket 21 Nisan 2024’te şüpheli faaliyetleri tespit etti ve yetkisiz bir tarafın 20 Nisan ile 22 Nisan arasında BT sistemlerine eriştiğini buldu. Açık veriler isimleri, banka detaylarını, sosyal güvenlik numaralarını, sürücü numaralarını, ödeme kartı detaylarını ve sağlık sigortası bilgilerini içeriyordu.

Geçen haftadan diğer hikayeler