Siber suçlular, kişisel verileri çalmak için popüler e-kitapları yem olarak kullanıyor

Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT), Türkiye, Mısır, Bangladeş ve Almanya’daki e-kitap okurlarını hedef alan ve LazyGo adı verilen tehlikeli bir kötü amaçlı yazılım hizmeti modeli (MaaS) kampanyasını ortaya çıkardı. Siber suçlular, en çok okunan Türkçe ve Arapça eserlerin görünümüne büründürdükleri gelişmiş kötü amaçlı yazılımları kullanarak kullanıcıların hassas bilgilerini çalıyor.

Kampanya, John Buchan'ın Türkçe'ye çevrilmiş "39 Basamak" gibi popüler eserlerden, Tamer Koçel'in "İşletme Yöneticiliği" gibi akademik metinlere ve Arapça şiir/edebiyat eleştirisi çalışmalarına kadar geniş bir yelpazedeki aramaları hedef alıyor.

Kötü Amaçlı Yazılımın Çalışma Şekli

Saldırganlar, sahte e-kitap dosyalarını PDF simgesi taşıyan yürütülebilir programlar şeklinde hazırlıyor. Kullanıcı bu sahte kitapları indirip açtığında, LazyGo yükleyicisi devreye giriyor ve sisteme StealC, Vidar ve ArechClient2 gibi bilgi hırsızlarını yerleştiriyor.

Kaspersky, API unhooking, AMSI atlatma ve sanal makine tespitinden kaçınma gibi gelişmiş gizlenme teknikleri kullanan üç farklı LazyGo varyantı tespit etti.

Çalınan Hassas Bilgiler

Saldırganların bu yöntemle ele geçirdiği kritik bilgiler şunları içeriyor:

• Tarayıcı Verileri: Chrome, Edge, Firefox gibi tarayıcılardan kayıtlı parolalar, çerezler ve tarama geçmişi.

• Finansal Varlıklar: Kripto para cüzdanı uzantıları, yapılandırma ve depolama verileri.

• Geliştirici Kimlik Bilgileri: Kurumsal altyapıya derin erişim sağlayabilen AWS kimlik bilgileri ve Azure CLI belirteçleri.

• İletişim/Oyun Platformları: Discord belirteçleri, Telegram Desktop verileri ve Steam oturum bilgileri.

• Sistem Bilgileri: Donanım özellikleri ve yüklü yazılımlar.

ArechClient2/SectopRAT ile enfekte olan kurbanlar, saldırganların sistem üzerinde tam uzaktan kontrol elde etmesi nedeniyle ek bir riskle karşı karşıya kalıyor.

Kampanya Aktif ve Birçok Sektörü Etkiliyor

Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Yossef Abdelmonem, bu kampanyanın "malware-as-a-service" modelinin hedefli sosyal mühendislik ile birleştirilmiş olmasının endişe verici olduğunu belirtti. Kampanyanın kamu kurumları, eğitim kurumları ve BT hizmetleri gibi çeşitli sektörleri etkilediği görülüyor.

Tehdit aktörleri, kötü amaçlı e-kitapları GitHub ve ele geçirilmiş web sitelerine yüklemeye devam ettiği için kampanya halen aktif durumda.

Kullanıcılara Güvenlik Tavsiyeleri

Kaspersky uzmanları, siber saldırılardan korunmak için şu önerilerde bulunuyor:

1. Kaynak Doğrulaması: E-kitap indirmeden önce kaynağın güvenilirliğini doğrulayın.

2. Dosya Özellikleri: İndirdiğiniz dosyanın bir PDF belgesi gibi görünse de yürütülebilir program (*.exe) olup olmadığını dikkatle inceleyin.

3. Güvenlik Çözümü Kullanın: Gelişmiş kaçınma tekniklerini algılayabilecek güncel ve güçlü kötü amaçlı yazılım tarama yeteneklerine sahip bir güvenlik çözümü kullanın (Örn: AV-Comparatives tarafından doğrulanmış Kaspersky Premium gibi).