Kaspersky, sahte CAPTCHA'ları ve tarayıcı hatalarını kullanan siber saldırı kampanyası keşfetti

İSTANBUL - Kaspersky, internet reklamları aracılığıyla yayılan ve Windows PC kullanıcılarını hedef alan kötü amaçlı kampanyaların yeni bir dalgasını keşfetti.

Şirketten yapılan açıklamaya göre, bu saldırıda kullanıcılar internette gezinirken farkında olmadan tüm ekranı kaplayan bir reklama tıklayarak sahte bir CAPTCHA sayfasına veya hırsızlık yazılımlarını indirmek için adımları takip etmelerini isteyen sahte bir Chrome hata mesajına yönlendiriliyor.

Kaspersky, bu yılın başlarında, siber saldırganların kullanıcının insan mı yoksa otomatik bir program ya da bot mu olduğunu doğrulamak için internet sitelerinde ve uygulamalarda kullanılan bir güvenlik özelliği olan CAPTCHA'ların sahtelerini kullanarak "Lumma hırsızı"nı dağıttığına ve özellikle oyuncuları hedef aldığına dair raporlar aldı.

Kullanıcılar internetteki oyun sitelerinde gezinirken, tüm ekranı kaplayan bir reklama tıklamaları için kandırılıyordu. Ardından kullanıcılar sahte bir CAPTCHA sayfasına yönlendiriliyor ve sayfanın altında yer alan talimatlarla hırsızlık yazılımını indirmeleri sağlanıyordu. Kullanıcılar "Ben robot değilim" düğmesine tıkladıklarında, bilgisayarlarının panosuna şifrelenmiş bir Windows PowerShell komutu kopyalanıyor, daha sonra bu komutu terminal kutusuna yapıştırmaları ve "enter" tuşuna basmaları isteniyordu. Böylece Lumma indiriliyor ve başlatılıyordu.

Kötü amaçlı yazılım, kurbanın cihazında kripto para birimiyle ilgili dosyaları, çerezleri ve şifre yöneticisi verilerini arıyor. Ayrıca çeşitli e-ticaret platformlarının web sayfalarını ziyaret ederek görüntülenme sayılarını artırıyor ve saldırganlara ek mali kazanç sağlayabiliyor.

Yeni saldırı dalgasında CAPTCHA yerine Chrome internet tarayıcısında bir hizmet mesajı gibi görünecek şekilde tasarlanmış web sayfası hata mesajının yer aldığı başka bir saldırı senaryosu daha tespit edildi. Saldırganlar, kullanıcıya terminal penceresine "düzeltmeyi kopyalaması" talimatını veriyordu.

Kaspersky, yeni saldırı dalgasının dosya paylaşım hizmetleri, internet uygulamaları, bahis portalları, yetişkinlere yönelik içerik sayfaları, anime toplulukları ve diğer kanallar aracılığıyla dağıtıldığını da saptadı.

Yaptıkları saldırılarda "Amadey Truva Atı"nı da kullanan saldırganlar, Lumma gibi popüler tarayıcılardan ve kripto para cüzdanlarından kimlik bilgilerini çalabiliyor.

Saldırganlar aynı zamanda ekran görüntüleri kaydedebiliyor, uzaktan erişim hizmetleri için kimlik bilgilerini alabiliyor ve cihazlara uzaktan erişim aracı indirerek tam erişim sağlayabiliyor.

Kaspersky telemetrisi, eylül ve ekim aylarında bu kötü amaçlı reklamların 140 binden fazla ortaya çıktığını saptadı. Verilere göre, 20 binden fazla kullanıcı kötü amaçlı komut dosyaları barındıran sahte sayfalara yönlendirildi.

Bu saldırı Latin Amerika ülkeleri (LATAM), Afrika, Orta Doğu ve Asya dahil olmak üzere birçok bölgedeki kullanıcılara ulaştı.

Açıklamada görüşlerine yer verilen Kaspersky Güvenlik Uzmanı Vasily Kolesnikov, saldırganların bazı reklam alanları satın aldığını ve bir kullanıcının bu reklama tıkladığında yaygın bir saldırı taktiği olan kötü amaçlı kaynaklara yönlendirildiğini kaydetti.

Yeni saldırı dalgasının, önemli ölçüde genişletilmiş bir dağıtım ağını ve daha fazla kurbana ulaşan yeni bir saldırı senaryosunu içerdiğini aktaran Kolesnikov, "Devamında kullanıcılar sahte bir CAPTCHA istemi ya da Chrome web sayfası hata mesajı ile kandırılarak yeni işlevlere sahip bir hırsızlığın kurbanı olabiliyor. Kurumsal kullanıcılar ve bireyler, internette gördükleri şüpheli yönlendirmeleri takip etmeden önce dikkatli olmalı ve eleştirel düşünmeliler." ifadelerini kullandı.

Kaspersky, hırsızlıkla ilgili tehditleri engellemek için şu önerilerde bulunuyor:

"İşletmeler, cihazlarının veya internet uygulamalarının kimlik bilgilerinin hırsızlar tarafından ele geçirilip geçirilmediğini özel Kaspersky Digital Footprint Intelligence açılış sayfasından kontrol etmeli, uygulama ve internet kontrolüne sahip Kaspersky Endpoint Security for Business gibi özel bir güvenlik çözümü kullanmalı. Bu çözüm davranış analizi, kötü amaçlı etkinliklerin hızla tespit edilmesine yardımcı olur. İşletmeler ayrıca personelleri için kapsamlı siber eğitimler sunan çevrimiçi bir araç kullanarak siber riskleri insani yönden en aza indirmeli ve dijital okuryazarlığı artırmalı. Bireyler ise şüpheli sayfaların veya kimlik avı e-postalarının açılmasını önlemek için tüm cihazlarınızda Kaspersky Premium gibi güvenlik çözümleri ve parolalarını güvenli bir şekilde saklamak için Kaspersky Password Manager kullanmalı."