Yetişkin web sitelerine erişmek için yaş doğrulamasının kullanımı dünyanın çeşitli ülkelerinde arttıkça, yetişkin içeriğine sahip gölgeli web siteleri, kendi web sitelerine bağlantıları tanıtmak için zamanında kötü amaçlı yazılım yakıtlı bir kampanya başlatmıştır.
Facebook’taki günlük turlarımız sırasında, en son dolandırıcılıkları arayan, yetişkin web sitelerine işaret eden bazı yayınlar hakkında garip bir şey fark ettik. Bu şekilde tanıtılan birkaç sitenin Blogspot’ta barındırıldığını gördük[.]com ve bu sitelerin diğer benzer sitelerle bağlantılı olduğunu.
İşte bir örnek:
Bu sitelerin çoğu, ziyaretçinin çoğu şüphesiz yapay zeka (AI) tarafından oluşturulacağı ortaya çıkacak ünlülerin açık resimlerine vaat ediyor.
Bu kendi başına nadir değildir. Ancak, göze çarpan şey, Facebook gönderilerinin birkaçının birçok beğeni olmasıydı. Çoğu insan Facebook’ta bu tür içerikten hoşlanmaz, çünkü herkes beğenin kim olduğunu görebilir.
Bir gönderi için çok sayıda beğeni, bu bağlantıları yayınlayan hesaplar için mükemmeldir, çünkü bir Facebook profili veya gönderi daha çok beğendiğinde, insanların yayınlarında ortaya çıkma olasılığı daha yüksektir, bu da temelde aynı para için daha fazla reklamdır.
Peki, yayınlar bu beğenileri nasıl alıyor?
Suçluların görevlerini ve profillerini tanıtmak için bir Truva atı kullandığı ortaya çıkıyor. Yetişkin sitelerinde görüntülenen bağlantıları tıklarken bazı seçilen – Visitors ölçeklenebilir bir vektör grafik (SVG) görüntü dosyası indirecektir. Yani bu sitelerden birinden diğerine sörf yaparken, bazen her zaman değil, bir indirmeyi tetikler.
Şimdi, siber suçlular, çoğu insanın bir görüntü dosyası olarak gördüğü göz önüne alındığında, SVG’nin çoğu insan için bir alarm başlatacak bir filetip olmadığı gerçeğine bankacılık yapıyor. Ancak SVG dosyaları her zaman sadece görüntü dosyaları değildir. XML ile yazılırlar ve bu da HTML ve JavaScript kodu içermelerine izin verir, bu da siber suçluların iyi olmamak için bunları kullanabileceği anlamına gelir.
İşte yetişkin siteleri tarafından sağlanan:
Komut dosyasının ikinci kısmının ağır gizlenmesine rağmen, kodu okuyabilen herkes için bu dosyanın iyi olmadığı açıktır. Aslında, aslında başka bir kötü amaçlı JavaScript dosyasını indirir, ancak hangisini bulmak zordu.
SVG dosyasındaki kod, niyetlerini gizlemek için “hibrid jsfuck” (ne kadar uygun) adlı bir teknik kullandığından, kötü niyetli olduğunu hemen varsaydık. Komut dosyasının kısımlarını okumaktan daha kolay olandan, komut dosyasının Crhammerstein alanından bir kötü amaçlı komut dosyasını indirip yürütmesini kesintiye uğratabiliriz.[.]Malwarebytes tarafından engellenen de.
![Malwarebebytes Flan'ı bloke eder.[.]ile ilgili](https://www.malwarebytes.com/wp-content/uploads/sites/2/2025/08/blocked_domain.png)
JSFuck, JavaScript’i yalnızca altı karakter kullanarak kodlayan bir şaşkınlık biçimidir: “[ ] ()! +”. Pure JSFuck Obfusation için birkaç çevrimiçi deobfuscator mevcuttur, ancak suçlular, çözülmesi kolay olmayan string.fromcharcode öğelerini ekleyerek hibrit bir yöntem kullandılar.
SVG dosyasının açılması, Process Monitor adlı boş bir kenar sekmesi açar. Bunun nedeni, kullanıcının varsayılan olarak başka bir tarayıcısı olsa bile, pencerelerdeki SVG dosyalarının kenar tarafından açılması nedeniyle olur.
Sonunda, indirilen senaryoların Trojan.js.nene Jack olarak tespit edilen başka bir JavaScript olduğunu anlamayı başardık. JavaScript’te yazılan bu Truva atı, kullanıcının bilgisi veya rızası olmadan bir Facebook sayfası için sessizce ‘Beğen’ düğmesini tıklar, bu durumda yukarıda bulduğumuz yetişkin yayınları. Kullanıcının bunun çalışması için Facebook’ta oturum açması gerekecek, ancak birçok kişinin Facebook’u kolay erişim için açık tuttuğunu biliyoruz.
Bu kampanyanın nasıl çalıştığını bildikten sonra, büyük miktarda blogspot bulduk[.]Bu kampanyaya dahil olan com sayfalar:
Çözüm
Hükümetler, kurallara göre oynayan yetişkin sitelerine yaş doğrulaması uyguladıklarına göre, bu tür içerikle ilgilenenleri, ziyaretçileri sitelerine götürmek için Truva atlarını konuşlandırmaya istekli oldukları ölçüde, kuralları umursamayanların kollarına yönlendiriyorlar.
Bir alternatif, içeriğe erişmeye çalışanların, bu kısıtlamaları dayatmayan yerlerden siteleri ziyaret etmek için bir VPN kullanmasıdır. Bu seçenekler göz önüne alındığında, bir VPN kullanmanızı öneririz.
Bu tür kampanyalara karşı korunmak için, gerçek zamanlı kötü amaçlı yazılım korumasını kullanmayı düşünmeye değer. Malwarebytes bu kampanyayla ilişkili alanları engeller.
Sadece tehditler hakkında rapor vermiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir başlığın ötesine yayılmamalıdır. Bugün MalwareBebytes’i indirerek tehditleri cihazlarınızdan uzak tutun.