Trellix araştırması, meşru güvenlik yazılımı görünümüne bürünen ancak kötü amaçlı yazılım barındıran sahte antivirüs web sitelerinin tehlikelerini ortaya çıkarıyor. Bu dolandırıcılıkları nasıl tanımlayacağınızı ve kendinizi kimlik hırsızlığı ve fidye yazılımı saldırıları gibi tehditlerden nasıl koruyacağınızı öğrenin.
Bilgisayarınızı korumak için çevrimiçi olarak bir virüsten koruma programı aradığınızı, ancak cihazınıza bilgi hırsızları bulaştıran bir web sitesine rastladığınızı hayal edin. Bu, Trellix’in “Tehlikeli AV Siteleri Kataloğu – Kötü Amaçlı Yazılım Barındırma Hikayesi” başlıklı araştırmasında ayrıntılı olarak açıklanan, büyüyen bir tehdit olan sahte antivirüs (AV) siteleri tarafından kullanılan aldatıcı taktiktir.
Güvenlik Kılığına Giren Aldatma
Nisan 2024’te Trellix Gelişmiş Araştırma Merkezi ekip üyeleri, APK, EXE ve Inno kurulum yükleyicileri gibi gelişmiş kötü amaçlı dosyaları barındıran birkaç sahte antivirüs sitesi keşfetti. Bu siteler SpyNote trojanını, Lumma kötü amaçlı yazılımını ve StealC kötü amaçlı yazılımını dağıtmak için kullanılır. Kötü amaçlı yazılım ana bilgisayarları avast-securedownload.com, bitdefender-app.com ve kötü amaçlı yazılımbytes.pro’yu içerir.
Avast-securedownload.com:
Paketleri yükleyip silebilen, çağrı günlüklerini, SMS’leri, kişileri, depolama verilerini, telefon durumunu ve daha fazlasını okuyabilen SpyNote Truva Atı’nı sağlayan Avast.apk adında gelişmiş bir APK’yı barındırır. Aynı zamanda bir kaydedici, dokunmatik aktivite izleyici ve güncelleme yeteneklerine de sahiptir.
Bitdefender-app.com:
Bu web sitesi, gizli bir TLS geri çağırma işlevine sahip “setup-win-x86-x64.exe.zip” adlı bir EXE içeren bir zip dosyası sunar. Lumma kötü amaçlı yazılımını dağıtarak bilgisayar adı, kullanıcı adı, HWID, ekran çözünürlüğü, CPU, yüklü bellek, çalışan işlem, oturum açma verileri, geçmiş, çerezler, belirteçler ve kullanıcı profili bilgileri gibi hassas bilgileri hedef alıyor.
Malwarebytes.pro:
Web sitesi meşru DLL’leri, Inno Kurulumunu ve StealC bilgi hırsızlığı yapan kötü amaçlı yazılımları içeren RAR dosyaları sunar. İçerikler gzip’te sıkıştırılır ve saldırganın C2 sunucusuna aktarılır. Çalınan bilgiler arasında hesap jetonları, Steam jetonları, kayıtlı kart ayrıntıları, sistem profilleri, Telegram oturum açma bilgileri, çalışan işlem adları, yüklü tarayıcı listeleri ve ortak sistem bilgileri yer alıyor.
Kötü Amaçlı İkili Dosyalar
Trellix’in blog gönderisine göre araştırmacılar ayrıca, hırsız kötü amaçlı yazılımların dağıtımını kolaylaştıran AMCoreDat.exe adlı bir ikili dosya keşfettiler. Saldırgan, yükü gizlemek için karmaşık bir yöntem kullanır, bilgisayar adı, kullanıcı adı, tarama geçmişi, çerezler, belirteçler vb. dahil olmak üzere kurbanın bilgilerini çalar ve bunları bir C2 sunucusuna gönderir.
Olası Tehlikeler
Cihazlarını korumaya çalışan habersiz kullanıcılar, antivirüs programı görünümündeki kötü amaçlı yazılımları indirme konusunda kolayca kandırılıyorlar çünkü bu siteler profesyonel görünüyor, logolarla, sahte referanslarla ve potansiyel tehditler hakkında aciliyet uyandıran dille dolu.
Bu dolandırıcılıkların kurbanı olmanın sonuçları, kimlik hırsızlığı, mali kayıp, hassas veri ihlalleri, fidye yazılımı saldırıları ve potansiyel olarak ağır fidye talepleri dahil olmak üzere ciddi olabilir.
Araştırmacılar bu web sitesi adreslerinin kötü amaçlı reklamlar ve SEO zehirleme stratejileri yoluyla dağıtıldığından şüpheleniyorlar. Riskleri azaltmak için güçlü siber güvenlik çözümleri kullanmak, korsan yazılımlardan kaçınmak ve yazılımın meşruluğunu uç nokta sağlayıcınızla doğrulamak gibi güvenlik önlemlerini uygulamanız önerilir.
İLGİLİ KONULAR
- Anti-virüs Yazılımı Olarak Maskelenen Kötü Amaçlı Android Uygulamaları
- Sahte Popüler Yazılım Reklamları MadMxShell Arka Kapısını Sağlıyor
- Sahte Skype, Zoom, Google Meet Siteleri Birden Fazla RAT Yayıyor
- Bilgisayar korsanları çevrimiçi satış yapmak için en iyi anti-virüs firmalarının kaynak kodlarını çaldı
- Sahte LastPass Şifre Yöneticisi Uygulaması iOS App Store’da Ortaya Çıkıyor