Disney’in 1.6/10 IMDB derecesine sahip en son Kar Beyazı filmi, şirketin şimdiye kadar yayınladığı en büyük flop değil. O kadar utanç verici ki, film Disney’in kendi akış platformu Disney+’da mevcut değil.
Veriti’deki siber güvenlik araştırmacılarına göre, dolandırıcılar Pamuk Prenses’in korsan versiyonlarını sunarak, özellikle Torrent kullanıcılarını hedefleyerek ve onları kötü amaçlı yazılım indirmeleri için kandırarak durumdan yararlanıyor.
Bir korsan indirmenin cazibesi
20 Mart’ta, başlangıçta “Teamesteam” web sitesinde meşru bir blog yazısı gibi görünüyordu (teamesteemmethodcom) 2025 Pamuk Prenses filminin korsan bir versiyonunu sundu. Gönderi, güvenli görünen ancak aslında bir tuzak olan bir mıknatıs torrent bağlantısı sağladı. Araştırmacılar, torrent dosyasını kullanıcıların cihazlarını tehlikeye atmak için tasarlanmış kötü niyetli bir kampanya olarak tanımladılar.
Şirketin hackread.com ile paylaşılan blog yazısına göre, torrent bağlantısı üç dosyadan oluşan bir pakete yol açtı. Standart bir film indirme gibi görünse de, başka bir şey değildi. Veriti, 45 kişinin zaten tuzağı daha hızlı yaymak için çalışan şüphesiz kurbanları hem de saldırganları içerebilecek dosyayı paylaştığını veya “tohumladığını” buldu.
Sorunu “büyüleyen” sahte bir kodek
Kullanıcılar torrent indirdiğinde film alamadılar. Bunun yerine, bir ReadMe belgesi ve “adlı şüpheli bir dosya da dahil olmak üzere bir paket dosya var”xmph_codec.exe. ” ReadMe, CODEC dosyasının, kullanıcıları kötü amaçlı yazılımlar yüklemeye kandırmak için çevrimiçi korsanlığın ilk günlerinde kullanılan ortak bir numara olan filmi çalmak için gerekli olduğunu iddia etti.
Ancak, bu durumda, “codec” dosyasını çalıştırmak, kullanıcının cihazında aşağıdakiler de dahil olmak üzere bir kötü amaçlı eylem zincirini tetikledi:
- Güvenliği devre dışı bırakır: Windows savunucusunu ve diğer yerleşik korumaları kapatır ve cihazı daha fazla saldırıya açık bırakır.
- Kötü amaçlı yazılım yükler: Dosya, şüpheli dosyaları analiz etmek için popüler bir platform olan Virustotal’daki 73 güvenlik aracı üzerinden 50 ile kötü niyetli olarak işaretlendi.
- Daha fazla tehdit bırakır: Sisteme sessizce ek zararlı dosyalar ekler ve daha fazla hasar için zemin hazırlar.
- Tor tarayıcısını yükler: Kullanıcının bilgisi olmadan karanlık web’e erişmek için kullanılan bir araç olan Tor tarayıcıyı indirir ve yükler.
- Karanlık Web’e bağlanır: Kötü amaçlı yazılım, karanlık web’de gizli bir sunucu ile iletişim kurar (.onion adresi kullanarak), güvenlik araçlarının izlemesini veya engellemesini zorlaştırır.
Kısacası, ücretsiz bir filme benzeyen şey, kullanıcıları veri hırsızlığına veya muhtemelen fidye yazılımlarına maruz bırakır.
Teamesteam ile bağlantı nedir?
TeameseMethod.com, Jamie Levine tarafından kurulan ve ebeveynlere, okullara ve eğitimcilere çeşitli çocukluk zorluklarına yönelik yardımcı olmaya adanmış ABD merkezli bir kuruluş olan Team Esteem, LLC’nin resmi web sitesidir.
Veriti’nin ekibi, bu kampanyanın arkasındaki saldırganların kötü amaçlı blog yayınlarını iki yoldan biriyle Teamesteem web sitesine almayı başardıklarına inanıyor: ya Yoast SEO eklentisinin eski sürümünde bir güvenlik açığından yararlanarak veya web sitesine erişmek için çalınan yönetici kimlik bilgilerini kullanarak.
Söz konusu güvenlik açığı CVE-2023-4068010 milyondan fazla WordPress web sitesi tarafından kullanılan popüler bir SEO aracı olan Yoast SEO eklentisinin eski sürümünde bulundu. Alternatif olarak, saldırganlar sahte blog girişini kendileri göndermek için çalıntı yönetici kimlik bilgilerini kullanarak siteye giriş yapmış olabilirler.
Her iki durumda da, saldırganlar siteyi kullanıcıları kötü amaçlı yazılımlarını indirmek için kandırmak için bir araç olarak kullandılar, kurbanlara çekmek için Pamuk Prenses çevresindeki hype’a bankacılık yaptılar.
İlk kez değil
Siber suçlular ilk kez korsan filmleri yem olarak kullanmadı ve sonuncusu olmayacak. Pamuk Prenses gibi yüksek profilli sürümler ana hedeflerdir, çünkü özellikle yasal seçenekler sınırlı olduğunda büyük ilgi çekerler. Disney+gibi platformlarda akış sürümü olmadan, birçok hayran, para veya zamandan tasarruf etmeyi umarak torrent sitelerine dönüyor. Ancak bu kampanyanın gösterdiği gibi, “ücretsiz öğle yemeği” diye bir şey yok.
Geçmişte, saldırganlar John Wick 3, Bulaşma, Black Widow, Joker, Ford v Ferrari, Karayip Korsanları ve diğer pek çok filmin kötü amaçlı yazılım ve fidye yazılımları dağıtmak için popülaritesini kullandılar.
İyi haber? Korsanlıktan kaçınarak, kötü niyetli torrentlerle temkinli olmak, en son tehditleri tespit etmek için kötü amaçlı yazılımınızı güncel tutarak ve sağduyu kullanarak tuzaklara düşmekten kaçınabilirsiniz.