Bir Gen Tehdit Laboratuarlarında, “Hellotds” olarak adlandırılan karmaşık bir trafik yön sistemi (TDS) ortaya çıkarıldı ve dünya çapında milyonlarca kullanıcıya Fakecaptcha ve diğer kötü amaçlı kampanyaların teslimatını düzenledi.
Bu ayrıntılı altyapı, kurbanları seçici olarak hedeflemek için ileri parmak izi teknikleri ve sosyal mühendislik kullanıyor ve sadece Nisan ve Mayıs 2025’te 4.3 milyondan fazla cihazı bulaşıyor.
Kampanyanın erişimi şaşırtıcıdır, ABD, Brezilya, Hindistan ve Batı Avrupa’da önemli etkiler gözlenirken, Balkan ülkeleri ve Ruanda, Mısır, Tanzanya ve Kenya da dahil olmak üzere Afrika’nın kısımları, nüfus ve kullanıcı tabanı için ayarlandığında en yüksek göreceli riskle karşı karşıyadır.
.png
)
Sofistike Trafik Yön Sistemi
Hellotds ağı, kurbanları coğrafi konum, IP adresleri ve tarayıcı parmak izlerine göre değerlendirerek, VPN’lerden veya başsız tarayıcılardan bağlantıları algılamak için reddederek çalışır.
Saldırı, akış web siteleri, dosya paylaşım hizmetleri ve torrent aynaları veya kötü niyetli kampanyalar yoluyla tehlikeye atılmış veya saldırgan kontrollü platformları ziyaret eden kullanıcılarla başlar.
DailyUploads gibi siteler[.]Net ve StreamTape[.]Hellotds uç noktalarıyla temas başlatan kötü amaçlı komut dosyaları yerleştiren ana giriş noktalarıdır.
TDS, önce IP ve coğrafi konum verilerini kullanarak sunucu tarafında, daha sonra tarayıcıda pencere boyutları, WebGL satıcısı ayrıntıları, pil durumu ve hatta sanal ortamları tespit etmek için sanal alan skorları gibi ayrıntılı bilgiler toplayarak çok aşamalı bir parmak izi işlemi gerçekleştirir.
Uygun bir hedef olarak görülürse, sistem kullanıcıları ağırlıklı olarak FakeCaptcha, kullanıcıları Lummac2 veya Remote Access Trojans (sıçan) gibi bilgi samanlılarını yükleyen komutları yürütmeye yönlendiren kötü niyetli açılış sayfalarına yönlendirir.
Diğer yükler arasında sahte güncellemeler, teknoloji dolandırıcılığı ve şifreli kötü amaçlı yazılım indirmeleri bulunmaktadır.
Çok aşamalı bir saldırı zinciri
Fakecaptcha’nın yeni bir varyantı, kampanyanın gelişen gizli taktiklerini sergileyen Unicode matematik yazı tiplerini kullanarak algılamayı daha da gizliyor.
İlginç bir şekilde, Hellotds, farklı desenlerle alan adlarını dinamik olarak döndürür (örneğin, yıl[.]müstehcen olmayan[.]com) Panama’daki Pananames altında kayıtlı, AS7979 altında belirli IP aralıklarında barındırıldı ve “Me MegangeCheckololo” gibi benzersiz HTTP başlıkları ile tanımlandı.
Hellotds’ın sofistike olması, VPN’leri kullanan güvenlik analistleri gibi, genellikle kripto para birimi yatırım sitelerini bir tuzak veya alternatif para kazanma stratejisi olarak yönlendiren hedef olmayanlara iyi huylu içerik sunma yeteneğinde yatmaktadır.
Bu arada, hedeflenen kullanıcılar, tanıdık Captcha arayüzlerindeki güvenden yararlanmak için tasarlanmış kötü niyetli içerik barajıyla karşı karşıya.
Gen Tehdit Laboratuarları, bazı yönlendiricilerin avs4you.com gibi meşru yazılım web sitelerini taklit ettiğini ve kötü niyetli ve iyi huylu davranışları analiz etmek için daha da kaçınmak için harmanladığını belirtiyor.
Bu ikili doğa, kullanıcıların gerçek zamanlı güvenlik yazılımı kullanmaları, tarayıcının izleme karşıtı korumalarını etkinleştirmeleri ve dosya paylaşım platformlarında dikkatli olmaları istenen sağlam savunmaların önemini vurgulamaktadır.
Güvenilmez kaynaklardan sistem iletişim kutularına kopyalama komutlarından kaçınmak, kendi enfeksiyonunu önlemek için kritik öneme sahiptir.
Uzlaşma Göstergeleri (IOCS)
| Kategori | Örnek IOC’ler |
|---|---|
| Dosya Paylaşım Giriş Web Siteleri | DailyUploads[.]Net, StreamTape[.]Watchadsontape’e[.]com |
| Hellotds Alanları | yr[.]müstehcen olmayan[.]com, gq[.]binesyorker[.]com, NutatedTriol[.]com |
| Fakecaptcha Redirektörler | hareket ettir[.]com/675CB495C39BC481DDF8EDD6, Buzzfiding[.]Mağaza/6767Af2ee2AA535E |
| Fakecaptcha açılış sayfaları | Adelaidavizcaine[.]com/cpw, internetten bulma[.]uçmak[.]depolamak[.]dedikodu[.]Dev/Seacrh[.]HTML |
Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun