Ekonomi Haberleri : Kaspersky uzmanları, siber saldırganların popüler yazılımları taklit eden sahte web sayfaları üzerinden uzaktan yönetim aracını dağıtarak kullanıcıları hedef alan geniş çaplı bir kampanyayı ortaya çıkardı.Şirketten yapılan açıklamaya göre, Managed Detection and Response hizmeti kapsamında tespit edilen olayın ardından yapılan incelemelerde, İngilizce, Arapça, İspanyolca, Çince, Almanca, Portekizce ve Rusça dahil 10 farklı dilde hazırlanmış 90'dan fazla alan adı belirlendi. Yapı, saldırganların dünya genelinde çok sayıda kullanıcıya ulaşmasını sağlarken, kampanya, Windows işletim sistemi kullanan bireysel kullanıcıları ve kurumları hedef alıyor.Söz konusu sahte yükleyiciler OBS Studio, DNS Jumper, DS4Windows, Glary Utilities ve Bandicam gibi yaygın kullanılan yazılımları taklit ediyor. Saldırganlar ayrıca, bu sahte sitelerin arama motoru sonuçlarında üst sıralarda görünmesini sağlamak için arama motoru optimizasyonu (SEO) tekniklerinden yararlanıyor. Araştırmacılar, tespit ettikleri 90'dan fazla sahte yazılım sitesinin tamamında aynı yöntemin kullanıldığını belirledi.
Meşru bir yazılım indirdiğini düşünen kullanıcılar, gerçekte ele geçirilen cihaza kalıcı erişim sağlayan gizli bir ScreenConnect uzaktan yönetim aracını indiriyor. Bu yolla enfekte edilen sistem üzerinde tam kontrol sağlayabilen açık kaynaklı truva atı AsyncRAT da yüklenebiliyor. Kampanyayla ilişkili alan adı kayıtlarının sayısı Şubat 2026'da zirveye ulaştı. Aynı tehdit aktörü, 2025 yılında da zararlı yükleyicileri oyun kılığında dağıtmak için benzer sahte internet sitelerini kullandı.
Bulaşma süreci, Microsoft tarafından dijital olarak imzalanmış meşru install.exe dosyası ile install.res.1033.dll kitaplığını içeren zararlı arşiv dosyaları aracılığıyla gerçekleşiyor. DLL side-loading tekniği kullanılarak cihaza yüklenen bu DLL, daha sonra saldırganlardan gelecek komutları bekleyen bir ScreenConnect hizmetini kuruyor.
Kulik, Saldırının asıl tehlikesi, geniş çaplı kimlik bilgisi hırsızlığına ve sistemlere yetkisiz erişime olanak sağlayabilmesi. Ele geçirilen veriler ise çoğunlukla daha sonra dark web forumlarında satışa sunuluyor. değerlendirmesinde bulundu.
Meşru bir yazılım indirdiğini düşünen kullanıcılar, gerçekte ele geçirilen cihaza kalıcı erişim sağlayan gizli bir ScreenConnect uzaktan yönetim aracını indiriyor. Bu yolla enfekte edilen sistem üzerinde tam kontrol sağlayabilen açık kaynaklı truva atı AsyncRAT da yüklenebiliyor. Kampanyayla ilişkili alan adı kayıtlarının sayısı Şubat 2026'da zirveye ulaştı. Aynı tehdit aktörü, 2025 yılında da zararlı yükleyicileri oyun kılığında dağıtmak için benzer sahte internet sitelerini kullandı.
Bulaşma süreci, Microsoft tarafından dijital olarak imzalanmış meşru install.exe dosyası ile install.res.1033.dll kitaplığını içeren zararlı arşiv dosyaları aracılığıyla gerçekleşiyor. DLL side-loading tekniği kullanılarak cihaza yüklenen bu DLL, daha sonra saldırganlardan gelecek komutları bekleyen bir ScreenConnect hizmetini kuruyor.
İşletmelere ve bireysel kullanıcılara tavsiyeler
İşletmelerin bu tehdide karşı alması gereken bazı önlemler bulunuyor. Buna göre, yazılım kurulumlarının sıkı şekilde kontrol altına alınması, uygulama izin listeleri kullanılarak güvenilmeyen kaynaklardan gelen MSI paketlerinin yüklenmesinin engellenmesi gerekiyor. Yeni uzaktan yönetim servislerinin ve zamanlanmış görevlerin sürekli izlenmesi, bilinmeyen alan adlarına ve IP adreslerine yönelik dış ağ trafiğinin filtrelenmesi ve çalışanların güncel siber tehditler konusunda bilinçlendirilmesi önem taşıyor. Yazılım kaynaklarının güvenilirliğinin doğrulanması, mevcut güvenlik kontrollerinin insan uzmanlar tarafından yürütülen tespit hizmetleri ve küresel tehdit istihbaratıyla desteklenmesi gerekiyor. Kaspersky Managed Detection and Response hizmeti, gelişmiş siber saldırılara karşı her saat izleme, tespit, analiz ve hızlı müdahale imkanı sunuyor. Ele geçirilmiş hesap veya sistem erişimlerinin kurum içinde yeni saldırılar için bir sıçrama noktası olarak kullanılmasını önlemek amacıyla kimlik bilgilerinin sızdırılıp sızdırılmadığının düzenli takip edilmesi de öneriliyor.Bireysel kullanıcılara yönelik ise yazılım indirirken dikkatli olunması ve medya dosyalarının yalnızca güvenilir kaynaklardan indirilmesi tavsiye ediliyor. Özellikle şüpheli internet sitelerinden indirilen meşru yazılımların içine zararlı yazılımlar gizlenebileceği hatırlatılarak, tüm cihazlarda güçlü bir güvenlik çözümü kullanılması, çok faktörlü kimlik doğrulamanın etkinleştirilmesi, hesapların düzenli izlenmesi ve finans uygulamalarında iki faktörlü kimlik doğrulamanın kullanılmasıyla yetkisiz işlemlerin erkenden tespit edilebileceği vurgulanıyor. İnternet sitelerinin gerçekliğinin doğrulanması, URL'lerin dikkatle kontrol edilmesi ve kurum ya da marka adlarında yazım farklılıkları olup olmadığının incelenmesi de gerekiyor.Açıklamada görüşlerine yer verilen Kaspersky Kıdemli SOC Analisti Denis Kulik, kampanyanın internetten ücretsiz yardımcı yazılımlar indiren bireysel kullanıcıların yanı sıra uzaktan erişim araçlarının çoğu zaman güvenilir uygulamalar listesinde yer aldığı ve yüksek ayrıcalıklarla çalışmasına izin verildiği kurumsal ağları da hedef aldığını belirtti.Kulik, Saldırının asıl tehlikesi, geniş çaplı kimlik bilgisi hırsızlığına ve sistemlere yetkisiz erişime olanak sağlayabilmesi. Ele geçirilen veriler ise çoğunlukla daha sonra dark web forumlarında satışa sunuluyor. değerlendirmesinde bulundu.




