GitHub depoları aracılığıyla kötü amaçlı yazılım indirmeleri sunan sahte güvenlik araştırmacılarının raporlarına göz atıyoruz.
VulnCheck araştırmacıları, gerçek güvenlik araştırmacılarını kötü amaçlı yazılım yemi olarak kullanan bir kampanya gözlemlediler. Kampanya, popüler programlar için istismar kodu sunan güvenlik profesyonellerinin inandırıcı bir resmini çizmek için sahte profiller, indirmeler, web siteleri ve sahte GitHub profilleri kullanarak gerçek görünmek için bazı mesafelere gidiyor.
Kampanya, “Yüksek Sierra Siber Güvenlik” adlı bir firmanın çalışanları gibi görünen hayali Twitter hesaplarından oluşan bir ağı içeriyordu. The Record, tanınmış firmalarda çalışan gerçek güvenlik araştırmacılarının birkaç fotoğrafının kampanyada kötüye kullanıldığını belirtiyor.
Hikaye, bu yılın Mayıs ayında, Signal mesajlaşma uygulaması için sıfır gün saldırısı olduğunu iddia eden kötü niyetli bir GitHub deposunun keşfedilmesiyle başlıyor. Bu sahte teklif kaldırıldı, ancak sayfanın arkasındaki grup ortalıkta dolaşmaya kararlıydı.
Yeni indirmeler sunuldu, ancak bu sefer daha önce bahsedilen güvenlik varlıkları kılığında. İyi bilinen ürünler için güvenlik açıkları sunduğunu iddia eden her High Sierra Cyber Security hesabı, aslında kötü amaçlı yazılım barındıran kötü amaçlı depolar sunuyordu. Sömürülebilir olduğu varsayılan ürünler arasında Chrome, Discord ve Exchange vardı. Tüm popüler programlar ve güvenlik alanıyla ilgilenen herkesin dikkatini çekme garantisi.
Bunun arkasındaki insanlar, Twitter gibi ağlarda “bulduklarını” tanıtarak, her şeyin gerçek görünmesini sağlamak için büyük ölçüde sosyal medyaya eğildiler. Bu, bu kötü amaçlı yazılım dolandırıcılığının yaratıcıları için riskli bir kumardı. Genel oyun planına meşruiyet katarken, birisinin güvenlik araştırmacılarından birinin aslında başka bir yerde çalıştığını fark etme riski taşıyordu. Gerçekten de tam olarak olan buydu ve günler geçtikçe çalınan görüntülerden daha fazla araştırmacı tespit edildi.
GitHub sayfaları, daha fazla potansiyel kurbanı hileli sayfalara bakmaya çekmek için “discordapp”, “cve” ve “rce-exploits” gibi popüler etiketlerden yararlanarak sosyal yönlere de eğildi. Bu tür etiketler kullanmanın, gerçek güvenlik araştırmacılarının bir göz atıp “Bir dakika…” demesini garantileyeceğini biliyor olmalılar.
GitHub sayfalarının tamamı artık çevrimdışı olsa da, sahte Twitter hesapları hala yayında. VulnCheck, danışma belgesinde listelenen GitHub sayfalarından ve Twitter hesaplarından herhangi biriyle etkileşimde bulunduysanız, dosyaları indirip çalıştırdığınızda güvenliğinizin ihlal edilmiş olabileceğini belirtiyor.
VulnCheck tarafından keşfedilen GitHub hesapları ve depoları şu şekildedir:
GitHub Hesapları
- github.com/AKuzmanHSCS
- github.com/RSahHSCS
- github.com/BAdithyaHSCS
- github.com/DLandonHSCS
- github.com/MHadzicHSCS
- github.com/GSandersonHSCS
- github.com/SSankkarHSCS
Kötü Amaçlı Havuzlar
- github.com/AKuzmanHSCS/Microsoft-Exchange-RCE
- github.com/MHadzicHSCS/Chrome-0-day
- github.com/GSandersonHSCS/discord-0-day-fix
- github.com/BAdithyaHSCS/Exchange-0-Day
- github.com/RShahHSCS/Discord-0-Day-Exploit
- github.com/DLandonHSCS/Discord-RCE
- github.com/SSankkarHSCS/Chromium-0-Day
Yukarıdakilerden herhangi biri tanıdık geliyorsa ve kullanıcı adlarından herhangi birini eşleşen Twitter hesaplarından tanıyorsanız, bilgisayarınızda bazı güvenlik taramaları yapmanın zamanı gelmiş olabilir. Güvenlik araştırmacılarının dolandırıcılık ve saldırıların hedefi olması alışılmadık bir durum değil. Başka hiçbir şey olmasa bile, kötü amaçlı yazılım yazarları ve kötü niyetli kişiler için büyük bir kazançtır, hedefin adı ne kadar büyükse o kadar iyidir.
Bununla birlikte, güvenlik araştırmacılarının kendilerini çevrimiçi olarak başkalarına bulaştırmanın bir yolu olarak kullandıklarını görmek pek yaygın değildir. Bu, indirdiğiniz kodu çalıştırmadan önce her zaman kontrol etmeniz için değerli bir hatırlatmadır. Şüpheniz varsa, yapmaya çalıştığınız şeye daha aşina olan birine sorun. Genel bir kural olarak, “popüler X programı için bu harika istismarı indirin”, onu indiren kişi veya kuruluş için pek iyi sonuç vermeme eğilimindedir.
Malwarebytes EDR ve MDR, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüs bulaşmanızı engeller. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme alın.
ŞİMDİ DENE