Sahte GlobalProtect VPN indirmelerine dikkat edin! Yeni bir kötü amaçlı yazılım kampanyası, WikiLoader kötü amaçlı yazılımını iletmek için SEO zehirlenmesi ve sahte web siteleri kullanıyor. Öncelikle eğitim ve ulaşımı hedef alan bu kampanya, kullanıcıları sahte yükleyicilerle kandırarak veri hırsızlığına ve daha fazla enfeksiyona yol açıyor.
Palo Alto Networks’teki siber güvenlik araştırmacıları, kullanıcıları sahte GlobalProtect VPN yükleyicilerini indirmeye kandırmak için Arama Motoru Optimizasyonu (SEO) zehirlenmesinden yararlanan yeni bir kötü amaçlı yazılım kampanyası keşfetti. Bu sahte yükleyiciler, WikiLoader (diğer adıyla WailingCrab) olarak bilinen tehlikeli bir kötü amaçlı yazılım yükleyicisi içeriyor.
WikiLoader genellikle siber suçlular tarafından kurbanların bilgisayarlarına diğer kötü amaçlı programları iletmelerine yardımcı olmak için kiralanmasıyla bilinir. Başlangıçta kimlik avı e-postaları aracılığıyla yayılmıştı, ancak son raporlar dağıtımcılarının SEO zehirlenmesi adı verilen bir yönteme geçtiğini gösteriyor.
Bilginize, SEO zehirlenmesi kötü amaçlı web sitelerinin arama sonuçlarında üst sıralarda görünmesini sağlamak için arama motoru sonuçlarını manipüle etmeyi içerir. ZenRAT, Zeus Panda ve SpyNote dahil olmak üzere birkaç kötü amaçlı yazılım ailesi, daha önce kullanıcıları kandırarak meşru görünen kötü amaçlı siteleri ziyaret etmeleri için bu taktiğe güvenmiştir.
Bu durumda saldırganlar, Palo Alto Networks’ün GlobalProtect VPN yazılım indirme sayfalarını taklit eden sahte web siteleri oluşturmuşlardır. VPN yazılımını indirmeye çalışan şüphelenmeyen kullanıcılar bunun yerine WikiLoader’ı indirmiş olabilirler.
WikiLoader, hassas bilgileri çalabilen ve daha fazla hasara yol açabilen bankacılık Truva atları gibi diğer kötü amaçlı yükler için bir “yükleyici” görevi görür.
Palo Alto Networks’ün blog yazısına göre, kampanya öncelikli olarak ABD’deki eğitim ve ulaşım sektörlerindeki kuruluşları hedef aldı. Ancak, SEO zehirlenmesinin kullanımı, GlobalProtect indirmelerini arayan herkesin potansiyel olarak etkilenebileceği anlamına geliyor.
Araştırmacılar, meşru görünen web sitelerini kullanmanın yanı sıra, bu kampanyanın arkasındaki tehdit aktörlerinin bulut barındırılan hizmetler de dahil olmak üzere tespit edilmekten kaçınmak için çeşitli diğer teknikleri ve araçları da kullandıkları konusunda uyarıyor. WikiLoader ayrıca, analizden kaçınmak için sahte hata mesajları gösterme ve görünüşte zararsız programların içine kötü amaçlı dosyaları gizleme gibi hileler de kullanıyor.
Palo Alto Networks, Cortex XDR ve Advanced WildFire gibi güvenlik ürünleri paketi aracılığıyla müşterilerini bu tehditten korumak için önlemler uyguladı. Şirket ayrıca, bu kampanya hakkında, tehlikeye dair işaretler ve tespit kuralları da dahil olmak üzere ayrıntılı bilgiler paylaştı. Kuruluşlar ve bireyler bu bilgileri incelemeli ve kendilerini bu tehditten korumak için adımlar atmalıdır.
İLGİLİ KONULAR
- Bilgisayar Korsanları Check Point VPN’lerini Hedef Aldı, Güvenlik Düzeltmesi Yayımlandı
- Ivanti VPN Kusurları DSLog Arka Kapısı ve Kripto Madencileri Tarafından İstismar Edildi
- Bilgisayar Korsanları ABD Şirketlerinden VPN Kimlik Bilgilerini Çalmak İçin Çalışanları Çağırıyor
- Cisco Yüksek Önem Düzeyindeki Kod Yürütme ve VPN Kaçırma Kusurlarını Düzeltiyor
- BlackByte Fidye Yazılımı, VPN Tabanlı Saldırılarda VMware Açığını Kullanıyor