btbilgi

Kasım 2019’da başladığı saptanan ve halen aktif olan bir siber saldırı kampanyası, VPN servisi vermeyi vaat ederek kullanıcıları kandırıyor. Popüler bir VPN hizmetinin web sitesini kopyalayarak gerçekleştirilen saldırının, özünde AZORult isimli Truva atını yaymayı amaçladığı tespit edilmiş. Tuzağa düşen kullanıcıların kişisel bilgileri ve kriptoparaları çalınmakta.

AZORult’un 2019’da 73 bin 719 saldırı gerçekleştirdiği ve Türkiye’de de 23 bin 322 kullanıcıyı hedef aldığı rapor edilmekte.  Ocak 2020’de ise sadece bir ayda 12 bin 748 saldırı saptanmış. Kötü niyetli yazılımı kullanan arka plandaki siber suçlular toplamda 5 bin 664 kullanıcıya erişmişler.

Güvenlik firması Kaspersky’nin verdiği bilgiye bakılırsa, AZORult sahip olduğu kapsamlı yetenekler nedeniyle Rusya forumlarında en çok tercih edilen ve alınıp satılan saldırı araçlarının başında geliyor. Bulaştığı sistemlerde kullanıcıların ciddi tehlikelerle karşı karşıya kalmasına sebep olan bu Truva atı, tarayıcı geçmişi, kişisel hesaplara giriş bilgileri, çerezler, klasörlerdeki dosyalar ve kripto cüzdan dosyaları gibi pek çok veriyi toplayabilmenin yanı sıra diğer zararlı yazılımların yüklenmesine de aracı oluyor.

Sahte VPN servisi sunan kötü niyetli yazılım: AZORultVPN servisi sunuluyor gibi görünen sahte web sitesine olan bağlantılar, farklı banner ağları üzerinden gösterilen reklamlar yoluyla (bu yönteme ‘malvertizing’ deniyor) yayılmakta. Orijinal web sitesinin bire bir aynısı olan sahte web sitesinin tek farkı alan adının değişik olmasıymış. Sahte siteyi ziyaret eden kurbanlardan ücretsiz bir VPN yükleyici indirmesi istendiği aktarılıyor. Sahte VPN’in Windows kurulum dosyasını indirip kuran kurbanın bilgisayarına, AZORult botnet örneğinin bir kopyası yerleştiriliyor.

Truva atı çalışır çalışmaz etkilenen cihazın ortam bilgilerini topluyor ve kendi sunucusuna raporluyor. Son olarak, saldırgan yerel olarak kullanılabilir kripto cüzdanlardan (Electrum, Bitcoin, Etherium ve diğerleri), FTP oturum açmaları ve bunların FileZilla parolalarından, e-posta kimlik bilgilerinden, yerel olarak yüklü tarayıcılardan (çerezler dahil), WinSCP, Pidgin messenger ve benzerlerinden toplanan bilgileri ele geçiriyor.

Kaspersky kötü niyetli yazılım saptandığı anda, söz konusu VPN servisini bilgilendirmiş ve sahte web sitesinin engellenmesini sağlamış. Raporda kullanıcıların internette dolaşırken önemli ve kişisel bilgilerini korumak için özellikle dikkatli olmaları gerektiği hatırlatılmakta. İnternette veri alışverişi yapıacak olan kullanıcıların VPN kullanması tavsiye ediliyor, fakat VPN yazılımının nereden indirildiğinin kontrol edilmesini de önemli denilmekte.

Yorumlar
btbilgi
PAYLAŞ
blank
xTRlarge, Türkiye'nin (TR) üretici ve yenilikçi potansiyelini sergilemek; farklı bakış açılarını, yeni tarzları, x sayıda yeni değeri, girişimi, fikri yansıtmak; teknolojiden doğaya, iş yönetiminden tasarıma, insana dair faaliyetlerin en geniş ufkunu sizlerle mümkün olduğu kadar geniş 'large" paylaşabilmek için yola çıktı. Geleceğe inancı olanlarla birlikte mesafe katetmeyi planlıyor.