Google, çevrimiçi ortamda gizlenip paranızı çalan kötü amaçlı yazılım keşfetti

Google, çevrimiçi ortamda gizlenip paranızı çalan kötü amaçlı yazılım keşfetti

Yeni bir görünmez çevrimiçi tehdit

Geceleri kapılarınızı kilitliyorsunuz, peki ya bilgisayarınız? Araştırmacılar, alışıldık çevrimiçi güvenlik önlemlerimizi aşan sinsi yeni bir bilgisayar korsanlığı yöntemi keşfetti.

Bu tekniğe EtherHiding adı veriliyor. Bu yöntem, kodlanmış yükleri herkese açık blok zincirlerinde depoluyor ve salt okunur sorgular kullanıyor, böylece teslimat adımı standart web tarayıcılarının tespit edebileceği daha az belirgin ağ göstergesi bırakıyor.

Güvenlik ekipleri, hem Kuzey Kore bağlantılı bir kümeyi hem de EtherHiding kullanan finansal amaçlı bir kümeyi gözlemledi.

Kötü amaçlı yazılımları görünürde gizlemek

Peki, bu hayalet saldırı nasıl işliyor? Saldırganlar, şüpheli bir dosya göndermek yerine, kötü amaçlı kodları herkese açık bir blok zincirinin içine saklıyor. Bu, Bitcoin gibi kripto para birimlerine güç veren teknolojiyle aynı. Blok zincirini, kimsenin silemeyeceği veya değiştiremeyeceği devasa, herkese açık bir dijital kayıt defteri olarak düşünün.

Tehlikeye maruz kalmış bir sayfadaki küçük bir yükleyici betiği, salt okunur API çağrıları aracılığıyla akıllı sözleşme veya işlem verilerini sorgulayacak, kodlanmış bir JavaScript veri yükünü alacak ve bellekte değerlendirecektir.

Çoğu durumda, veri yükü görünür bir dosya indirmesi olmadan çalışır, ancak bazı kampanyalar kurbanların yerel bir komut çalıştırmasını sağlamak için sosyal mühendisliğe güvenir.

Güvenlik yazılımınız bunu neden gözden kaçırıyor?

Bu yöntem, veri yükünün genel bir blok zincirinde bulunması ve salt okunur çağrılar aracılığıyla alınabilmesi nedeniyle site taraması ve imza tabanlı korumalar için algılamayı zorlaştırır. Ancak, uç nokta algılama ve modern EDR araçları, şüpheli bellek içi davranışları veya olağandışı ağ çağrılarını yine de işaretleyebilir.

Zararlı kod, genel ve görünüşte tarafsız bir kaynaktan alınır. Bu, güvenlik yazılımınızın tam önünde gerçekleşen gerçek tehlikeyi görmesini engeller.

Saldırganların akıllıca gizlenmesi

Bulaşmayı başlatmak için, bilgisayar korsanlarının öncelikle güvenliği ihlal edilmiş bir siteyi ziyaret etmeniz gerekir. Genellikle WordPress gibi platformlar üzerine kurulu, meşru ancak güvenliği zayıf web sitelerine girerler. Sitenin tamamını kapatmazlar, çünkü bu çok bariz olurdu.

Bunun yerine, web sitesinin çerçevesine gizlice küçük ve zararsız görünen bir kod parçası yerleştirirler. Bu küçük kod parçası, normal web sitesi verileriyle uyumlu olacak şekilde ustaca gizlenmiş dijital bir tuzak kapısıdır. Tarayıcınız sayfayı yüklediğinde, farkında olmadan bu kötü amaçlı betiği çalıştırır.

Enfeksiyondan sonra ne olur?

Gizli kod bilgisayarınıza girdikten sonra asıl hasar başlar. Kötü amaçlı yazılım, şifreleri ve oturum açma bilgilerini çalmak için her tuş vuruşunu kaydeden sessiz bir casus gibi davranabilir.

Kötü amaçlı yazılım, MetaMask veya Phantom gibi cüzdanlardan tarayıcı cüzdan anahtarlarını veya oturum çerezlerini çıkarırsa, saldırganlar bu cüzdanları boşaltabilir veya para transferi yapmak için oturum belirteçlerini kötüye kullanabilir.

Diğer durumlarda, kötü amaçlı yazılım tüm dosyalarınızı kilitleyebilir ve kilidini açmak için fidye isteyebilir. Bilgisayar korsanlarının sisteminize kalıcı bir arka kapısı olduğundan, hassas kişisel belgelerinizi veya şirket sırlarınızı da çalabilirler.

Kuzey Kore Bağlantısı

Google Tehdit İstihbarat Grubu, EtherHiding kullanarak Kuzey Kore'ye atfedilen bir aktivite bildirdi ve bu kümeyi UNC5342 olarak takip etti. Mandiant ve GTIG ise benzer zincir üstü teknikler kullanarak UNC5142 olarak takip edilen, finansal amaçlı ikinci bir kümeyi belgeledi.

Devlet destekli bu destek, bilgisayar korsanlarının iyi kaynaklara sahip, son derece yetenekli ve sabırlı olduğu anlamına geliyor. Para çalmak ve istihbarat toplamak için koordineli ve ulusal bir çabanın parçasılar. Bu da onları çevrimiçi herkes için özellikle kalıcı ve tehlikeli bir tehdit haline getiriyor.

Sosyal Mühendislik Hilesi

Bilgisayar korsanları genellikle akıllı sosyal mühendislik yoluyla hedefleri aktif olarak cezbeder. LinkedIn gibi profesyonel ağlarda işe alım uzmanı gibi davranarak teknoloji sektöründe sahte, yüksek maaşlı işler teklif edebilirler. Potansiyel kurbanlarıyla güven oluşturmak için uzun görüşmeler yaparlar.

Sonunda, mülakat sürecinin bir parçası olarak bir "teknik beceri testi" gönderirler. Yasal görünen bir sitede barındırılan bu dosya, blok zincirine bağlanan ilk yükleyiciyi içerir. Gerçek bir teste girdiğini sanan kurban, dosyayı isteyerek indirip çalıştırıyor.

Siber savaş alanında bir değişim

Blockchain'in kötü amaçlı yazılımlar için kullanılması, siber suçlarda önemli bir artışa işaret ediyor. Bu, yeni nesil kurşun geçirmez barındırmaya doğru bir atılımı temsil ediyor. Bilgisayar korsanları, blockchain'i güvenli kılan özellikler olan kalıcılığını ve merkeziyetsizliğini, kendi kötü amaçlı operasyonlarını korumak için kullanıyor.

Bu teknik yaygınlaşırsa, mevcut birçok dijital savunma sistemini geçersiz kılabilir. Her türden suçlu, kaynağında izlenmesi veya durdurulması neredeyse imkansız saldırılar düzenleyebilir. Kalıcı ve görünmez çevrimiçi tehditlerin olduğu yeni bir çağla karşı karşıya kalabiliriz.

Dijital Savunmanızı Nasıl Güçlendirirsiniz?

Tehdit karmaşık olsa da, çaresiz değilsiniz. İlk savunma hattı, özellikle web tarayıcınız ve işletim sisteminiz olmak üzere tüm yazılımlarınızı güncel tutmaktır. Bu güncellemeler genellikle bilgisayar korsanlarının istismar etmeyi sevdiği güvenlik açıkları için yamalar içerir.

İnternette yeni tanıştığınız kişilerden bile olsa dosya indirirken veya bağlantılara tıklarken son derece dikkatli olun. Bir "işe alım uzmanı" sizden bir görüşme için bir program çalıştırmanızı isterse, bu büyük bir tehlike işaretidir. Meşru şirketlerin güvenli ve şeffaf işe alım süreçleri vardır.

Büyük teknoloji ve güvenlik firmalarının rolü

Google ve diğer siber güvenlik şirketleri bu tehditleri aktif olarak takip ediyor. Blockchain ağlarıyla gizlice iletişim kuran tarayıcı davranışlarını izlemek gibi olağandışı etkinlikleri tespit etmenin yeni yolları üzerinde çalışıyorlar. Araştırmaları, yeni nesil güvenlik araçları geliştirmek için çok önemli.

Bu firmalar ayrıca blockchain API sağlayıcıları ve web barındırma hizmetleriyle de iş birliği yapıyor. Bilgisayar korsanlarının kullandığı aracı hizmetleri tespit edip engelleyerek saldırı zincirini bozabilirler. Kötü amaçlı akıllı sözleşmeyi silemeseler bile bu hayati bir adımdır.

Bu tehdit neden bu kadar etkili?

Bu saldırının temel gücü, güvenilir bir sistemi kötüye kullanmasıdır. Blockchain'in güvenli ve şeffaf olduğu öğretildiği için, zarar vermek için kullanılabileceği fikri akıllıca bir numaradır. Bilgisayar korsanları, güveni silah olarak kullanmanın bir yolunu bulmuşlardır.

Ayrıca, düşük maliyeti ve yüksek dayanıklılığı, onu bilgisayar korsanları için mükemmel kılıyor. Saldırıyı yeni kötü amaçlı yazılımlar sunacak şekilde güncellemek, işlem ücretlerinde bir dolardan daha az maliyete neden olabilir. Bu arada, saldırı platformları durdurulamaz bir küresel ağda kalıcı olarak barındırılıyor.

Geleceğe Bakış

Güvenlik uzmanları bunun sadece bir başlangıç olduğundan endişe duyuyor. Bu blockchain gizleme tekniğinin yapay zeka ile birleştirilmesinin kendi kendine yayılan saldırılara yol açabileceği konusunda uyarıyorlar. Yapay zeka, daha ikna edici kimlik avı tuzakları oluşturmaya veya ele geçirilecek yeni web sitelerini otomatik olarak bulmaya yardımcı olabilir.

Bilgisayar korsanları ve savunmacılar arasındaki mücadele, devam eden bir silahlanma yarışıdır. Biz yeni teknolojiler geliştirdikçe, onlar da bunları kötüye kullanmanın yollarını buluyor. Bu son gelişme, dijital ortamın sürekli değiştiğini ve sürekli tetikte olmamızı gerektirdiğini kanıtlıyor.

Yeni dijital çağda güvende kalmak

En iyi savunmanız, iyi teknolojiyi akıllı alışkanlıklarla birleştirir. Güvenilir bir güvenlik paketi kullanın ve kötü amaçlı sitelere karşı gerçek zamanlı koruma için güvenli tarama özelliklerini etkinleştirin. Ek bir güvenlik katmanı için, komut dosyalarının otomatik olarak çalışmasını engelleyebilen bir tarayıcı kullanmayı düşünün.

Tıklamadan önce her zaman düşünün ve gerçek olamayacak kadar iyi görünen tekliflere şüpheyle yaklaşın. İnternet harika bir araçtır, ancak dikkatli olmakta fayda var. Bu yeni tehditlerin farkında olarak, kurban olma riskinizi önemli ölçüde azaltabilirsiniz.

Yapay zekanın kötüye kullanımdan nasıl korunduğunu merak ediyor musunuz? OpenAI'nin, hacker hesaplarının platformunu kullanmasını engellemek için yaptığı son hamleyi okuyun.

Kaynak: Computer User