12 Mar, 2025

Microsoft, Dünya Genelinde 1 Milyondan Fazla Cihazı Enfekte Eden Malvertising Kampanyasına Karşı Uyardı

Microsoft, hassas bilgileri çalmak amacıyla gerçekleştirilen büyük ölçekli bir malvertising(kötü amaçlı reklamcılık) kampanyası hakkında detayları açıkladı. Teknoloji devi, Aralık 2024’ün başlarında tespit ettiği bu saldırının, dünya genelinde 1 milyondan fazla cihazı etkilediğini duyurdu.

Microsoft, bu faaliyeti, uzaktan erişim veya bilgi çalan kötü amaçlı yazılımları (stealermalware) yaymak için kimlik avı (phishing), arama motoru optimizasyonu (SEO) ve malvertising kullanan tehdit aktörlerini kapsayan Storm-0408 grubunun bir parçası olarak takip ediyor.

 

 

Saldırının Yayılma Yöntemi


Microsoft Tehdit İstihbarat Ekibi’ne göre, saldırı yasa dışı yayın (streaming) yapan web sitelerindeki kötü amaçlı reklam yönlendirmeleri aracılığıyla başladı. Bu yönlendirmeler, kullanıcıları bir ara siteye, ardından GitHub ve diğer iki platforma yönlendirdi.

Microsoft, kampanyanın tüketici ve kurumsal cihazlar da dahil olmak üzere birçok sektörü ve kuruluşu etkilediğini belirterek, saldırının rastgele ve geniş çaplı olduğunun altını çizdi.

Bu saldırının en dikkat çekici yönlerinden biri, GitHub’un kötü amaçlı yazılım yükleme platformu olarak kullanılmasıdır. Ayrıca, saldırıda kullanılan payload dosyalarının Discord ve Dropbox üzerinde de barındırıldığı tespit edildi. Microsoft, kaç tane GitHub deposunun kaldırıldığını açıklamadı ancak kötü amaçlı içeriklerin temizlendiğini bildirdi.

Saldırının Teknik Detayları


Microsoft’un açıklamasına göre, GitHub üzerindeki kötü amaçlı yazılımlar, daha fazla zararlı yazılımı dağıtmak için kullanılan bir “dropper malware” görevi görüyor. Bu dropperlarLumma Stealer ve Doenerium gibi kötü amaçlı yazılımlar yükleyerek sistem bilgilerini çalıyor.

Saldırı, 4 ila 5 katmanlı karmaşık bir yönlendirme zinciri kullanıyor. İlk yönlendirme, yasa dışı yayın sitelerine yerleştirilmiş bir iframe (bir web sayfası içine başka bir web sayfasını veya kaynağı yerleştirmek için kullanılan bir HTML) öğesi ile başlatılıyor ve sonrasında kullanıcı farklı sitelere yönlendiriliyor.

 

Genel enfeksiyon süreci çok aşamalı olup şu adımları içeriyor:

1. İlk Aşama – Hedef cihazlara ilk erişimin sağlanması
2. İkinci Aşama – Sistem keşfi, bilgi toplama ve kötü amaçlı yazılım yükleme
3. Üçüncü Aşama – Komut yürütme, kötü amaçlı yazılımın çalıştırılması, savunma mekanizmalarından kaçınma, kalıcılık sağlama, komuta ve kontrol (C2) sunucularına iletişim, veri sızdırma
4. Dördüncü Aşama – Microsoft Defender’ı devre dışı bırakmak için PowerShellkomutları çalıştırma ve uzaktaki bir sunucudan veri indirme.

Ek Tehditler
Saldırı kampanyasında, NetSupport RAT adlı uzaktan erişim trojanı kullanılarak, yüklü uygulamalar ve güvenlik yazılımlarının tarandığı belirtildi. Özellikle kripto para cüzdanları hedef alınarak finansal verilerin çalınması amaçlanıyor.

 

Microsoft, saldırganların PowerShell, JavaScript, VBScript ve AutoIT komut dosyalarını kullanarak sistem üzerinde kötü amaçlı işlemler gerçekleştirdiğini belirtti. Ayrıca, PowerShell.exe, MSBuild.exe ve RegAsm.exe gibi LOLBAS (LivingOffThe-Land Binaries and Scripts) bileşenlerinin kullanılarak, C2 sunucularıyla iletişim kurulduğu ve kullanıcı verilerinin tarayıcılardan çalındığı tespit edildi.

 

Benzer Tehditler ve Kaspersky’nin Açıklamaları


Bu açıklamalar, Kaspersky’nin DeepSeek ve Grok adlı yapay zeka sohbet botları gibi görünen sahte web siteleri aracılığıyla kullanıcıları, daha önce belgelenmemiş bir Python tabanlı bilgi çalan yazılımı yüklemeye yönlendiren saldırıları ifşa etmesinin hemen ardından geldi.

DeepSeek temalı bu sahte siteler, X üzerindeki doğrulanmış hesaplar (@ColeAddisonTech, @gaurdevang2 ve @saduq5 gibi) aracılığıyla tanıtıldı ve kullanıcılara bir PowerShell komut dosyası çalıştırarak SSH üzerinden saldırganlara uzaktan erişim sağladı.

Kaspersky, siber suçluların kurbanları kötü amaçlı web sitelerine yönlendirmek için farklı yöntemler kullandığını belirtti. Bu yöntemler arasında:

Mesajlaşma uygulamaları ve sosyal medya platformları üzerinden sahte bağlantılar paylaşmak
Typosquatting (bilinen sitelerin isimlerini yanlış yazarak sahte siteler oluşturma)
Reklam ağları ve bağlı kuruluş programları aracılığıyla kötü amaçlı sitelere trafik satın almak bulunuyor.

Bu tür malvertising saldırılarından korunmak için kullanıcıların yalnızca güvenilir kaynaklardan yazılım indirmesi ve tarayıcı güvenlik önlemlerini sıkılaştırması öneriliyor.

 

CyberArts olarak, malvertising ve benzeri siber tehditlere karşı korunmanın temelinin güçlü güvenlik politikaları ve bilinçli kullanıcı alışkanlıkları olduğunu vurguluyoruz. Bu tür saldırılardan korunmak için:
Reklam Engelleme ve İçerik Filtreleme: Zararlı reklamları önlemek için güvenilir bir reklam engelleyici kullanılmalı ve içerik filtreleme politikaları uygulanmalıdır.
Güvenli Tarama Alışkanlıkları: Kullanıcılar, özellikle yasa dışı yayın platformları gibi riskli sitelerden kaçınmalı ve yalnızca güvenilir kaynaklardan içerik tüketmelidir.
İleri Düzey Tehdit Algılama: Anormal ağ trafiğini ve şüpheli aktiviteleri belirlemek için yapay zeka destekli analiz araçları kullanılmalıdır.
Güçlü Web Güvenliği Önlemleri: Web siteleri, iframe kullanımını sınırlayarak ve Content Security Policy (CSP) gibi güvenlik başlıklarını kullanarak zararlı içeriklerin yüklenmesini engellemelidir.
Eğitim ve Farkındalık Çalışmaları: Kullanıcılar, kimlik avı saldırıları, zararlı bağlantılar ve güvenlik açıkları konusunda düzenli olarak bilinçlendirilmelidir.
Kaynak Güvenliği ve Erişim Kontrolleri: GitHub, Discord veya Dropbox gibi platformlarda barındırılan dosyalar için sıkı erişim kontrolleri uygulanmalı ve güvenli imzalama yöntemleri kullanılmalıdır.
Çok Katmanlı Koruma: Antivirüs çözümleri, güvenli tarayıcı ayarları ve PowerShellgibi komut dosyalarının kötüye kullanımını önlemek için ek güvenlik denetimleri devreye alınmalıdır.

Bu tür önlemler, hem bireysel kullanıcıların hem de kurumsal yapıların malvertisingsaldırılarından korunmasını sağlayarak veri güvenliğini güçlendirecektir.

About Content:
Share on Social Media:
Facebook
Twitter
LinkedIn
Telegram

Related Articles