Yeni SEO zehirlenme kampanyası maruz kaldı! Fortiguard Labs, saldırganların Hiddengh0st ve Winos kötü amaçlı yazılımları sunmak için kullanıcıları sahte web siteleriyle nasıl kandırdığını ortaya koyuyor.
Yeni bir siber saldırı kampanyası, arama motoru sonuçlarını manipüle ederek Çince konuşan Windows kullanıcılarını avlıyor. Fortinet’in Araştırma Bölümü Fordiguard Labs, saldırganların insanları zararlı yazılımları indirmek için kandırmak için SEO zehirlenmesi (kötü niyetli web sitelerini görünmek için manipüle etme) adlı bir teknik kullandığını açıklayan en son araştırma blogunu yayınladı.
Fordiguard Lab’ın blog yayınına göre, kampanya Ağustos 2025’te keşfedildi ve saldırganlar meşru yazılım sağlayıcılarıyla neredeyse aynı görünen hileli web siteleri oluşturdu ve bu sahte siteleri arama sıralamasının en üstüne yapay olarak artırmak için özel eklentiler kullandı.
Güvenilir bir sitede olduklarını düşünen bir ziyaretçi, gerçek bir uygulama gibi görünen şeyi indirir. Ancak “Kurulumcular hem meşru uygulamayı hem de kötü amaçlı yükü içererek kullanıcıların enfeksiyonu fark etmesini zorlaştırdı” dedi.
Bir kullanıcı yükleyiciyi çalıştırdıktan sonra, kötü amaçlı yazılım bir dizi çek gerçekleştiren bir dosya başlattı. Sinsi olacak şekilde tasarlanmıştır ve gerçek bir kişinin bilgisayarından ziyade bir araştırma veya kum havuzu ortamında çalıştırıldığına dair işaretler arar. Eğer bir laboratuvar ortamında olduğunu tespit ederse, keşfedilmeyi önlemek için hemen çalışmayı durdurur. Bu, saldırganların yöntemlerini anlamak için çok önemli bir detaydır.
Bu sahte montajcılar gizlice iki tür kötü amaçlı yazılım yüklemek için tasarlanmıştır: Hiddengh0st ve Winos. Hiddengh0st, bir saldırganın bilgisayarı uzaktan kontrol etmesine izin veren bir araçtır, Winos ise değerli bilgileri çalmakla bilinir. Bu çalınan veriler daha sonra gelecekteki siber saldırılar için kullanılabilir. Bu kampanyanın şiddeti, mağdurlar üzerindeki potansiyel etki nedeniyle yüksek olarak sınıflandırılmıştır.
Saldırganların benzeri alanlar ve küçük karakter ikamelerini kullanması (örneğin, “O” harfinin “0” sayısıyla değiştirilmesi) aldatmalarının önemli bir parçasıydı. Kötü amaçlı yazılımın bilgisayarda kalmasını sağlamak için, bilgisayar her açıldığında sistem dosyalarını değiştirir ve otomatik olarak başlatmak için yenilerini oluşturur. Böyle bir saldırıda sahte web sitelerini kullanan önceki bir örnek: Google.com, ɢoogle.com değil.
Araştırma ayrıca, kötü amaçlı yazılımların, Tether ve Ethereum için olanlar gibi kripto para cüzdanlarından elde edilen veriler de dahil olmak üzere çok çeşitli kişisel bilgileri çalabileceğini ortaya koydu. Ayrıca tuş vuruşlarını kaydetme ve panoya kopyalananları yakalayabildiği de gözlendi. Saldırganlar daha sonra komutlar uzaktan yayınlayabilir ve enfekte bilgisayarı tam olarak kontrol etmelerini sağlar.
Fordiguard Labs bu araştırmayı hackread.com ile paylaştı ve dijital dünyada tehditlerin ne kadar hızlı geliştiğini vurguladı. Çevrimiçi olarak dikkatli olmak ve herhangi bir yazılımı indirmeden önce her zaman bir alan adını dikkatlice incelemek her zaman iyi bir uygulamadır.