Bilgisayar virüsleri denildiğinde çoğumuzun aklına arka planda sessizce çalışan görünmez yazılımlar geliyor. Ancak ortaya çıkan son güvenlik raporu bu algıyı tamamen değiştirecek türden. Point Wild bünyesinde çalışan siber güvenlik araştırmacıları Windows sistemleri hedef alan oldukça sıra dışı bir saldırı kampanyası keşfetti. Bu kampanya Pulsar RAT ve Stealerv37 isimli iki farklı zararlı bileşeni bir arada kullanıyor ve klasik virüs anlayışının çok ötesine geçiyor. Bu yeni tehdit yalnızca kullanıcı verilerini çalmakla yetinmiyor. Aynı zamanda bilgisayar korsanlarının canlı sohbet penceresi üzerinden kurbanla doğrudan iletişim kurmasına da imkan tanıyor. Yani saldırı artık sadece teknik değil psikolojik bir boyut da kazanmış durumda.
Araştırmalara göre saldırı oldukça küçük ve masum görünen bir dosyayla başlıyor. Bu dosya genellikle sistemin gözden uzak klasörlerine yerleştiriliyor ve kullanıcı tarafından fark edilmesi neredeyse imkansız hale geliyor. Asıl tehlikeli kısım ise bundan sonra başlıyor. Zararlı yazılım sabit diske klasik anlamda dosyalar bırakmak yerine tamamen sistem belleği üzerinden çalışıyor. Bu yönteme bellek içi yürütme adı veriliyor ve birçok geleneksel antivirüs çözümü bu tekniği tespit etmekte zorlanıyor. Kodlar PowerShell gibi Windows’un kendi güvenilir araçları üzerinden çalıştırıldığı için sistem normal bir işlem yürütüyormuş gibi görünüyor. Daha da kötüsü saldırganlar Donut adlı bir araç kullanarak zararlı kodları explorer.exe gibi günlük işlemlerin içine enjekte edebiliyor. Bu sayede virüs durdurulsa bile saniyeler içinde yeniden aktif hale geliyor. Bazı durumlarda Görev Yöneticisi ve kullanıcı izin uyarıları bile devre dışı bırakılabiliyor.
Hedef alınan veriler oldukça geniş
Bu saldırının temel amacı neredeyse her şeyi ele geçirmek. Pulsar RAT sayesinde saldırganlar web kameranıza erişebiliyor veya mikrofonunuzu dinleyebiliyor. Stealerv37 ise dijital hayatın tamamını hedef alıyor. Kripto para cüzdanları taranıyor panodaki adresler otomatik olarak değiştirilebiliyor ve böylece yapılan transferler doğrudan saldırganların cüzdanına yönlendirilebiliyor. Bunun yanında Chrome ve Edge gibi tarayıcılardan şifreler ve oturum çerezleri çalınıyor. VPN yazılımları geliştirici araçları ve özellikle Steam ile Roblox gibi oyun hesapları da hedef listesinde yer alıyor. Toplanan tüm veriler sıkıştırılarak Discord ve Telegram üzerinden saldırganlara aktarılıyor.
Araştırmacıların en dikkat çekici bulgularından biri ise saldırganların bazı durumlarda kurbanlarla canlı sohbet penceresi üzerinden iletişime geçmesi oldu. Bu sırada arka planda yeni zararlı yazılımlar yüklenmeye devam ediyor. Uzmanlara göre bu durum modern siber suçların artık tek seferlik virüslerden çok daha organize operasyonlara dönüştüğünü açıkça gösteriyor. Uzmanlar Windows başlangıç uygulamalarının düzenli olarak kontrol edilmesini öneriyor. Tanımadığınız program adları sistemde belirmeye başladıysa bu ciddi bir uyarı olabilir. Ayrıca bilgisayarınız güvenlik izin pencerelerini göstermemeye başladıysa mutlaka şüphelenmek gerekiyor. İki faktörlü kimlik doğrulama kullanmak bu tür saldırılara karşı hâlâ en etkili savunmalardan biri olarak öne çıkıyor. Çünkü bu tehditler giderek daha karmaşık hale gelirken kullanıcıların da dijital güvenliğe her zamankinden daha fazla önem vermesi gerekiyor.
Henüz hiç yorum yapılmamış. İlk yorumu sen yap!
