Siber suçlular, kullanıcıları Microsoft Teams ve Google Meet gibi popüler ofis araçları gibi görünen kötü amaçlı yazılımları indirmeleri için kandırıyor. CyberProof’taki siber güvenlik uzmanlarının hazırladığı yeni bir rapora göre, bu tehlikeli kampanya esas olarak finans dünyasındakileri hedef alıyor ve Kasım 2025’in ortasından beri aktif.
Tehlike, uzmanların SEO zehirlenmesi ve kötü amaçlı reklam dediği şeyde yatıyor. Bilginiz olsun, SEO zehirlenmesinde saldırganlar, sahte, tehlikeli web sitelerinin en üstte görünmesini sağlamak için arama sonuçlarını değiştirir; kötü amaçlı reklamcılık ise kötü amaçlı yazılım yaymak için çevrimiçi reklamları kullanmak anlamına gelir.
Yem: Sahte İndirmeler
CyberProof’un Hackread.com ile paylaştığı araştırması, saldırının kurbanları kötü amaçlı web sitelerine yönlendirmekle başladığını ortaya koyuyor. Bir kullanıcı tıkladığında, kandırılarak Oyster arka kapısını (Broomstick ve CleanUpLoader olarak da bilinir) indirmeye yönlendiriliyor; bu, ilk olarak Eylül 2023’te IBM’deki güvenlik uzmanları tarafından tespit edildi.
Daha ayrıntılı araştırmalar, saldırganların sürekli olarak yöntemlerini değiştirdiklerini ortaya çıkardı. Örneğin, Temmuz 2025’te CyberProof araştırmacıları, Oyster’ın, özellikle PuTTY ve WinSCP gibi diğer popüler BT araçlarının kimliğine bürünen reklamlar yoluyla yayıldığını fark etti. Bu, kullanıcıların sıklıkla aradığı hedefleme araçlarının modelini gösterir.
Son Saldırı Ayrıntıları
Mevcut saldırı dalgası, insanları kötü amaçlı yazılım indirmeye kandırmak için Microsoft Teams ve Google Meet gibi çevrimiçi iletişim araçlarına yönelik sahte indirme sayfalarının kullanılmasını içeriyor; raporlar bunun Kasım ayının ortasından önce başladığını öne sürüyor.
Hackread.com’un yakın zamanda bildirdiği gibi, Blackpoint Cyber’in araştırması, ziyaretçilerin “Microsoft Teams indirmesi” araması yaptığında ve Oyster arka kapısını teslim ettiğinde sahte bir sitenin ortaya çıktığı yeni bir kampanyayı detaylandırıyor.
Dosyalarının resmi görünmesini sağlamak için bazı sahte yükleyiciler, MSTeamsSetup.exeLES LOGICIELS SYSTAMEX INC., Reach First Inc. ve SN ADVANCED KANALİZASYON SOLUTIONS LTD dahil olmak üzere çeşitli şirketlerin sertifikalarıyla kod imzalanmıştır. Araştırmacılar, bu sertifikaların çoğunun o zamandan beri iptal edildiğini belirtti.
Kalıcı Bir Tehdit
Oyster arka kapısı ciddi bir sorundur çünkü bilgisayar sistemine gizli bir giriş noktası oluşturur. Sahte yükleyici çalıştırıldığında, adı verilen kötü amaçlı bir dosya bırakır. AlphaSecurity.dll Bilgisayarınızdaki bir klasöre.
Kalıcılık sağlamak için yükleyici, ‘AlphaSecurity’ olarak da adlandırılan zamanlanmış bir görev oluşturur; bu, kötü amaçlı dosyanın 18 dakikada bir çalışmasını sağlar ve bilgisayar yeniden başlatıldıktan sonra bile arka kapıyı aktif tutar.
Mevcut kampanya Kasım 2025’te başlamış olsa da araştırmacılar, SEO ve kötü amaçlı reklamcılığın bir kombinasyonunu kullanan bu daha geniş tehdidin en az Kasım 2024’ten beri aktif olduğunu belirtti. Tanınmış Rhysida gibi birçok fidye yazılımı grubunun kurumsal ağlara saldırmak için aynı arka kapıyı kullandığının ve bunun ciddi bir endişe kaynağı olduğunu açıkladılar.
CyberProof araştırmacıları, “İnsanların çalıştırdığı fidye yazılımı gruplarıyla bazı bağlar olduğundan, bu tehdit kümesinin 2026 yılına kadar aktif olmaya devam edeceğine güçlü bir şekilde inanıyor ve tahmin ediyoruz” dedi.
Kendinizi korumak için yazılımı her zaman doğrudan resmi geliştiricinin web sitesinden veya güvenilir bir uygulama mağazasından indirmeyi unutmayın ve indirmeler için arama sonuçlarına veya pop-up reklamlara tıklamaktan kaçının; bunlar Oyster arka kapısının tam olarak yayılma şeklidir.