Yakın zamanda yapılan bir keşifte, Cyble Research and Intelligence Labs (CRIL), PUBG bypass hack projesi gibi görünen aldatıcı bir GitHub sayfası tespit etti.
Projenin çözüm dosyasını (.sln) indiren şüphelenmeyen kullanıcılar, bilmeden “Legion Stealer” adlı kötü amaçlı bilgi çalan kötü amaçlı yazılımın kurbanı olurlar.
Çözüm dosyasını (.sln) yürüten kullanıcılar, istemeden bilgi çalan sinsi bir kötü amaçlı yazılım olan Legion Stealer’ı sistemlerine davet eder.
Legion Stealer, kurbanın bilgisayarından hassas bilgileri çalan kötü amaçlı bir programdır.
Windows Defender ayarlarını değiştirmek, kayıt defterinden bilgi çıkarmak ve işletim sistemi, RAM boyutu ve CPU bilgisi gibi sistem ayrıntılarını toplamak gibi, algılamayı önlemek ve veri toplamak için çeşitli eylemler gerçekleştirir.
Ayrıca web tarayıcılarını hedefler, şifreleri ve çerezleri çıkarır ve kripto para cüzdanlarını, Minecraft oturum dosyalarını ve mesajlaşma uygulamalarından gelen verileri arar.
Çalınan veriler sıkıştırılır ve web kancaları aracılığıyla bir Discord sunucusuna gönderilir.
PUBG hack’leri ve kötü amaçlı GitHub depolarını atlar
GitHub’da kullanıcıları aldatmak için çeşitli taktikler kullanan kötü niyetli kişiler tespit edildi. Görünüşte yararlı veya meşru görünen depolar oluştururlar ve bundan şüphelenmeyen kurbanları onları klonlamaya veya indirmeye çekerler.
Ancak, yüzeyin altında, bu havuzlar gizli kötü amaçlı yazılımları ve gizli kodları barındırır.
Cazip adlar ve açıklamalarla, havuzlar gerçek projeler gibi davranır veya değerli araçlar sunarak kullanıcıları kötü amaçlı kod yürütmeleri için kandırır.
Bu depoların kurbanları, kötü amaçlı yazılım bulaşmalarına karşı savunmasız hale gelir.
CRIL raporunda, “Bunlar gibi hileler, oyuncuların duvarların arkasını görmelerine, otomatik olarak rakiplerine nişan almalarına, normalden daha hızlı hareket etmelerine ve oyunun normal oyun mekaniğinde mümkün olmayan diğer eylemleri gerçekleştirmelerine izin verebilir” dedi.
“Bypass hack’lerini kullanmak, oyunun hizmet şartlarına aykırıdır ve geçici veya kalıcı yasaklar da dahil olmak üzere cezalara neden olabilir.”
Kullanıcılar “PUBG-Karogour-Bypass-NO-BAN” GitHub sayfasını ziyaret edip “Download ZIP” seçeneğine tıkladıklarında bilgisayarlarına bir dosya kaydediyorlar.
Bu dosya, kaynak kodu, proje dosyaları, simgeler ve kaynaklar gibi farklı dosya türlerini içerir. “Karogour_BypasrcS.sln” adlı bu dosyalardan biri, bir C# projesi için bir çözüm dosyası gibi görünse de aslında zararlı bir yürütülebilir dosyadır.
“Karogour_BypasrcS.sln” dosyası yürütüldüğünde, “Local_ycsNYnaBZ.sln” ve “LocalchfRgyVJSk.exe” adlı diğer iki dosyayı bilgisayardaki gizli bir konuma gizlice bırakır.
“Local_ycsNYnaBZ.sln” dosyası Visual Studio editöründe açılarak kullanıcıyı kandırmakta, “LocalchfRgyVJSk.exe” dosyası ise kullanıcının bilgisi dışında arka planda çalışmaktadır.
Bu gizli dosya, Legion Stealer kötü amaçlı yazılım yükü olarak tanımlanır.
PUBG baypas saldırılarını ve bunların sonuçlarını anlama
PUBG’nin popülaritesi, onu siber güvenlik haberlerinde düzenli bir giriş haline getirdi.
2018’de tespit edilen bir tür fidye yazılımı, resim, müzik ve belgeler gibi çeşitli dosya türlerini şifreliyor ve belirli bir koşul karşılanana kadar bunları rehin tutuyor.
Bu durumda koşul Playerunknown’s Battlegrounds (PUBG) oyununu bir saat oynamaktır. Fidye yazılımı ancak bu gereksinimi yerine getirdikten sonra şifrelenmiş dosyaları serbest bırakacaktır.
PUBG bypass hack’i, popüler battle royale oyununda oyuncular tarafından diğerlerine göre haksız avantaj elde etmek için kullanılan yasa dışı bir yöntemi ifade eder.
Bu hack’ler, oyunun güvenlik önlemlerini ve hile önleme sistemlerini atlatmak için tasarlanmıştır ve oyunculara aimbot’lar, wallhack’ler ve hız hack’leri gibi çeşitli hilelere ve istismarlara erişim sağlar.
Bununla birlikte, bypass hack’lerinin kullanılması, oyunun hizmet şartları tarafından kesinlikle yasaklanmıştır ve geçici veya kalıcı yasaklar da dahil olmak üzere ciddi sonuçlara yol açabilir.
Sürüm kontrolü ve işbirliğine dayalı yazılım geliştirme projeleri için güvenilir bir web platformu olarak bilinen GitHub, kendisini bir çıkmazda bulur.
Meşru kod paylaşımını ve işbirliğini etkili bir şekilde kolaylaştırırken, aynı zamanda Tehdit Aktörleri (TA’lar) için kötü amaçlı yazılımları, arka kapıları ve açıkları havuzlar aracılığıyla yaymak için çekici bir merkez haline gelir.
CRIL raporuna göre, kusursuz işbirliği için tasarlanan GitHub’ın doğası, kötü niyetli aktörler tarafından şüphelenmeyen kullanıcıları gizli yüklerini indirmeleri ve çalıştırmaları için kandırmak için kullanılabilir.
Raporda, kendinizi bu tür saldırılardan korumak için dosya indirirken dikkatli olmanız ve güvenilir olmayan kaynaklardan uzak durmanız tavsiye ediliyor.
Bir CRIL araştırmacısı The Cyber Express’e “Göz atma riskini en aza indirmek için tarama geçmişinizi düzenli olarak temizleyin ve parolaları değiştirin” dedi.
Araştırmacıya göre, en son güvenlik yamalarını almak için cihazlarınızda otomatik yazılım güncellemelerini etkinleştirmek de harika bir şekilde yardımcı oluyor.
“Cihazlarınızı kötü amaçlı yazılımlardan korumak için saygın bir antivirüs ve internet güvenlik yazılımı yükleyin. Tetikte olun ve orijinalliğini doğrulamadan güvenilmeyen bağlantılara tıklamaktan veya e-posta eklerini açmaktan kaçının” diye ekledi araştırmacı.