.webp?w=696&resize=696,0&ssl=1 "Sahte Kar Beyazı Filmi")
Disney’in son sürümü Snow White (2025), şüphesiz kullanıcılar için siber güvenlik krizine dönüştü. Hayal kırıklığı yaratan bir IMDB derecesi 1.6/10 ve cansız gişe sonuçları ile filmin Disney+ ‘dan yokluğu, birçok kişinin çevrimiçi korsan versiyonları aramasına yol açtı.
Siber suçlular, torrent kullanıcılarını hedefleyen sofistike bir kötü amaçlı yazılım kampanyası başlatmak için bu fırsatı ele geçirdiler.
Kötü niyetli Pamuk Prenses Torrent
20 Mart’ta, “Teamesteam” (TeameseMethod.com) web sitesindeki bir blog yazısı, Snow White filminin korsan bir versiyonunu sunduğunu iddia etti. Gönderi, meşru görünen ancak aslında bir tuzak olan bir mıknatıs torrent bağlantısı içeriyordu.
Veriti’nin siber güvenlik araştırmacıları, Torrent’in cihazları tehlikeye atmak ve kötü amaçlı yazılımları eşler arası ağlar aracılığıyla yaymak için tasarlanmış kötü amaçlı bir dosya paketi içerdiğini keşfetti.
Saldırganlar muhtemelen eski bir Yoast SEO eklentisinde bir XSS güvenlik açığı (CVE-2023-40680) kullandı veya sızdırılmış yönetici kimlik bilgileri kullanılarak erişim kazandı.
Tahmin edilen blog, kullanıcıları enfekte dosyaları indirmeye yönlendirerek korsan içeriğe olan ilgiyi yem olarak kullandı.
Torrent’i indirdikten sonra kullanıcılar üç dosya aldı:
- Kullanıcılara videoyu oynamak için bir “özel codec” yüklemelerini öğreten bir ReadMe dosyası.
- Gerekli codec yükleyicisi olarak maskelenen xmph_codec.exe adlı şüpheli bir yürütülebilir dosyası.
- Meşru görünen ancak “Codec” olmadan oynanamayan bir video dosyası.
Bu taktik, kullanıcıların sahte codec paketleri yüklemeye kandırıldığı eski sosyal mühendislik yöntemlerini canlandırıyor. Ancak saldırganlar, gelişmiş kötü amaçlı yazılımları yükleyiciye yerleştirerek yaklaşımlarını güncellediler.
Kullanıcılar XMPH_CODEC.EXE’yi yürüttüğünde, bilmeden sofistike bir kötü amaçlı yazılım dağıtım süreci başlattılar.
Veriti’nin analizi birkaç endişe verici ayrıntı ortaya koydu:
- Yürütülebilir ürün, Virustotal’daki 73 güvenlik satıcısının 50’si tarafından kötü niyetli olarak işaretlendi.
- 12 Temmuz 2024’te önceki kampanyalardan yeniden kullanım önererek derlendi.
- Dosya imzasız kaldı ve kökeniyle ilgili endişeleri artırdı.
- Sisteme ek kötü amaçlı dosyalar bıraktı.
- Tor tarayıcısını sessizce indirdi ve yükledi.
- Daha fazla talimat için soğan tabanlı komut ve kontrol (C2) sunucuları ile iletişim kurdu.
- Windows Defender’ı ve diğer yerleşik güvenlik özelliklerini devre dışı bıraktı.
Kötü amaçlı yazılım altyapısı, http://cgky6bn6ux5wvlybtmm3z25igt52ljml2ngnc5qp3cnw5jlglamisad./onion gibi karanlık web alanlarına bağlantıları içeriyordu.
Bu kampanya, saldırganların geleneksel taktikleri modern teknolojilerle nasıl birleştirdiğini vurgulamaktadır.
WordPress eklentileri gibi modası geçmiş platformlardan yararlanarak ve dağıtım için eşler arası ağlar kullanarak, yüksek faizli medya eğilimlerinden yararlanan ikna edici yemler yaratırlar.
Öneriler
Bu tür saldırılara kurban düşmekten kaçınmak için Veriti şunları önerir:
- Korsan içerikten kaçının: Korsan film indirmek risklidir ve genellikle kötü amaçlı yazılım enfeksiyonlarına yol açar.
- Monitör Uzlaşma Göstergeleri (IOCS): Bilinen kötü amaçlı alanlar veya dosyalarla bağlantılı şüpheli etkinliklere dikkat edin.
- Yama Eski Yazılım: Güvenlik açıklarını önlemek için Yoast SEO gibi CMS platformlarını ve eklentilerini düzenli olarak güncelleyin.
- Katmanlı Güvenlik Çözümlerini Kullanın: Bilinmeyen tehditleri tespit etmek için davranışsal analiz araçları kullanın.
Korsan içeriği indirmek için cazip olabileceği kadar, riskler ödüllerden çok daha ağır basar.
Bunun gibi kötü amaçlı yazılım kampanyaları, tehlikeye atılan cihazlara, çalınan verilere ve finansal kayıplara yol açabilir. Dikkatli kalmak ve korsanlıktan kaçınmak, dijital güvenliğinizi korumada temel adımlardır.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates
.