Kaspersky Global Research & Analysis Team (GReAT), daha önce belgelenmemiş, oldukça geniş yetenek setine sahip bir RAT’in dağıtıldığı aktif bir zararlı yazılım kampanyasını ortaya çıkardı. Standart uzaktan erişim truva atı işlevlerinin ötesine geçen bu zararlı; stealer (veri hırsızı), keylogger (tuş kaydedici), clipper ve casus yazılım özelliklerini tek bir yapıda birleştiriyor. Siber suçlular tarafından MaaS (malware-as-a-service / hizmet olarak zararlı yazılım) modeliyle üçüncü taraflara sunulan bu araç, YouTube ve Telegram üzerinden tanıtılıyor. Bu durum, daha az teknik bilgiye sahip aktörler de dahil olmak üzere çok daha geniş bir kullanıcı kitlesi tarafından kullanılma riskini artırıyor.

Stealer özellikleri sayesinde zararlı yazılım, kurban hakkında geniş kapsamlı veri toplayabiliyor: sistem bilgilerini derliyor, Steam, Discord ve Telegram hesaplarına ait kimlik bilgilerini ele geçiriyor ve web tarayıcılarından veri çekebiliyor. Ayrıca kripto para kullanıcıları için de ciddi bir tehdit oluşturuyor; tarayıcı tabanlı clipper özelliği ile kripto cüzdan adreslerini değiştirerek işlemleri manipüle edebiliyor.

Veri hırsızlığının ötesinde, CrystalX RAT tam kapsamlı bir gözetim aracı olarak da konumlanıyor. Ekran görüntüsü alma, mikrofon üzerinden ses kaydetme ve hem web kamerasından hem de ekran üzerinden video yakalama gibi yeteneklere sahip.

Zararlının dikkat çeken unsurlarından biri ise geliştiriciler tarafından özellikle öne çıkarılan “eğlenceli” prankware (şaka yazılımı) özellikleri. Bu işlevler sayesinde saldırganlar, kurbanın sistemine doğrudan müdahale edebiliyor: fare imlecini hareket ettirmek, masaüstü arka planını değiştirmek, ekran yönünü döndürmek, masaüstü simgelerini gizlemek, sistemi zorla kapatmak ve hatta gerçek zamanlı açılır mesajlar göndermek mümkün. İlk bakışta zararsız gibi görünen bu özellikler, saldırıya görünürlük ve psikolojik baskı boyutu ekleyerek kurban üzerinde rahatsız edici bir etki yaratıyor.

Kaspersky, saldırıların şu an için Rusya’daki kullanıcıları hedef aldığını bildiriyor. Ancak satış ve dağıtım modeli göz önüne alındığında, zararlının farklı ülkelere yayılma potansiyeli oldukça yüksek.

Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Leonid Bezvershenko konuyla ilgili olarak şunları söylüyor: “Bu denli kapsamlı bir yetenek seti, kurbanın adeta 360 derece ele geçirilmesine ve gizliliğin tamamen ortadan kalkmasına yol açıyor. Hesap erişim bilgilerinin ele geçirilmesinin ötesinde, çalınan veriler şantaj amacıyla da kullanılabilir. İlk bulaşma vektörü henüz net olarak belirlenebilmiş değil, ancak şimdiden onlarca kurbanı etkilediği görülüyor. Telemetri verilerimiz, zararlının yeni versiyonlarının da tespit edildiğini gösteriyor; bu da aktif olarak geliştirilmeye ve sürdürülmeye devam ettiğine işaret ediyor. Önümüzdeki dönemde hem kurban sayısının hem de coğrafi yayılımın önemli ölçüde artmasını bekliyoruz.”

CrystalX RAT ve göstergeleri hakkında daha fazla bilgi edinmek için Securelist.com üzerindeki detaylı rapor incelenebilir.

Kaspersky, kullanıcıların güvende kalabilmesi için şu önerilerde bulunuyor:

• Mesajlaşma uygulamaları veya e-posta yoluyla alınan ve zararlı yazılım çalıştırma riski taşıyan dosyaları açarken veya indirirken son derece dikkatli olun.

• İndirmeler konusunda seçici davranın. Oyunları ve modları yalnızca resmi kaynaklardan veya güvenilir web sitelerinden yüklemek daha güvenlidir. Gayriresmi kaynaklar zararlı yazılım içerebilir.

• Tüm bilgisayar ve mobil cihazlarınızda, sizi uyaracak ve olası enfeksiyonları önleyecek  Kaspersky Premium gibi güçlü bir güvenlik çözümü kullanın.

• Windows ayarlarından “dosya uzantılarını göster” seçeneğini etkinleştirebilirsiniz. Bu, potansiyel olarak zararlı dosyaları ayırt etmenizi kolaylaştıracaktır. Truva atları birer program olduğu için; “exe”, “vbs” ve “scr” gibi dosya uzantılarına sahip şüpheli dosyalardan uzak durmalısınız. Siber suçlular, zararlı bir dosyayı video, fotoğraf veya belge gibi göstermek için birden fazla uzantı kullanabilir.

• E-posta yoluyla gönderilen bildirimlere karşı tetikte olun. Siber suçlular genellikle bir çevrimiçi mağaza veya bankadan gelmiş gibi görünen sahte e-postalar hazırlayarak kullanıcıyı zararlı bir bağlantıya tıklamaya ve yazılımı yaymaya teşvik eder.

CrystalX RAT hakkında daha fazla bilgi edinmek ve güvenlik ihlali göstergelerini (IoC) incelemek için Securelist.com üzerindeki raporu ziyaret edebilirsiniz.

Kaspersky, veri çalan ve kullanıcıları hedef alarak sistemlerine müdahale eden CrystalX RAT’i tespit etti yazısı ilk önce En Gazete üzerinde ortaya çıktı.

Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT), dünya çapında görsel, video ve PDF dosyalarındaki meta verileri okumak ve düzenlemek için kullanılan açık kaynaklı ExifTool yazılımında bir komut enjeksiyonu güvenlik açığı (CVE-2026-3102) tespit etti. ExifTool’un 13.49 ve önceki sürümlerini çalıştıran macOS sistemlerini etkileyen bu kusur, bir saldırganın bir görsel dosyasının meta verilerine gizli talimatlar yerleştirerek hedef sistemde rastgele komutlar yürütmesine imkan tanıyor. Projenin geliştiricisi Phil Harvey, 7 Şubat’ta yayınlanan 13.50 sürümüyle söz konusu açığı giderdi.

Güvenlik açığı, ExifTool’un macOS üzerinde belirli meta veri etiketlerini işleme biçimindeki yetersiz girdi temizleme (input sanitization) prosedürlerinden kaynaklanıyor. Bir saldırgan, kötü amaçlı komutlar içeren “silahlandırılmış” bir PNG dosyası oluşturabiliyor ve bu dosya ExifTool tarafından işlendiği anda komutlar hedef sistemde otomatik olarak çalışıyor. İstismar süreci oldukça düşük karmaşıklığa sahip: İlk komut silahlandırılmış görseli oluşturuyor, ikinci komut ise hedef sistemdeki yürütme sürecini tetikliyor.

Bu açık istismar edildiğinde, tehdit aktörleri tehlikeye atılmış makineye ek kötü amaçlı yazılım (payload) indirme, bunları çalıştırma veya sistemde depolanan görseller ve PDF’ler de dahil olmak üzere hassas verileri ele geçirme yetkisine sahip olabiliyor.

Görsel, ses, video ve PDF meta verilerini okuma, yazma ve işleme yeteneğine sahip olan ExifTool; dijital iş akışlarında, adli bilişim analizlerinde ve kütüphane arşivleme süreçlerinde yaygın olarak kullanılıyor. Tipik Açık Kaynak İstihbaratı (OSINT) faaliyetleri arasında; çekim tarihlerinin/konumlarının çıkarılması, düzenleme yazılımlarının tespiti, yan dosyaların (sidecar) eşleştirilmesi ve sürümler arası meta veri farklılıklarının karşılaştırılması yer alıyor.

Kaspersky Küresel Araştırma ve Analiz Ekibi’nden Güvenlik Araştırmacısı Lucas Tay, konuya ilişkin şu açıklamada bulundu: “Bu güvenlik açığını dikkat çekici kılan unsur, belirli bir komut satırı kullanıldığında istismarının ne kadar basit olduğu ile ExifTool’un profesyonel iş akışlarına ne kadar derinlemesine entegre olduğu arasındaki tezatlıktır. macOS üzerinde ExifTool çalıştıran herkes 13.50 sürümüne güncellemeli; ayrıca otomatik veri hatları (pipeline) kullanan ekipler, betiklerinin hangi sürümü çağırdığını mutlaka doğrulamalıdır.”

CVE-2026-3102’ye karşı korunmak için Kaspersky, ExifTool’un 13.50 veya daha yeni bir sürüme güncellenmesini öneriyor. macOS üzerinde yamalanmamış sürümlerle güvenilir olmayan kaynaklardan gelen görsel dosyalarının işlenmemesi tavsiye ediliyor. Ayrıca ExifTool’u çağıran otomatik iş akışları ve betiklerin gözden geçirilerek yamalı sürüme referans verdiklerinin teyit edilmesi gerekiyor. İş süreçlerinde açık kaynak bileşenlere yer veren kurumlar ise yazılım tedarik zincirlerindeki zafiyetleri sürekli izlemek amacıyla Kaspersky’nin Open Source Software Threats Data Feed çözümünden yararlanabiliyor.

Kaspersky: macOs Kullanıcılarını Etkileyen Kritik Güvenlik Açığı Tespit Edildi yazısı ilk önce En Gazete üzerinde ortaya çıktı.

Bitdefender’ın tespit ettiği son saldırı dalgasında, Leonardo DiCaprio’nun “One Battle After Another” adlı filmini arayan kullanıcılar hedefleniyor. Torrent sitelerinden indirilen dosyanın içinde video yerine, meşru sistem araçlarını (PowerShell) kötüye kullanan zararlı bir yazılım zinciri bulunuyor. Bu zincirleme reaksiyon sonucunda bilgisayara bulaşan “Agent Tesla” zararlı yazılımı, tarayıcılardaki şifreleri, klavye vuruşlarını ve ekran görüntülerini çalarak saldırganlara gönderiyor. Bitdefender Türkiye Distribütörü Laykon Bilişim Operasyon Direktörü Alev Akkoyunlu, saldırganların güvenlik duvarlarını aşmak için zararlı kodları masum bir “altyazı” dosyasının içine gizlediğine dikkat çekiyor.

Alev Akkoyunlu, film veya dizi ararken bilgisayarınızı bir casus yazılım yuvasına çevirmemeniz için dikkat etmeniz gerekenleri şöyle sıraladı:

1. Dosya Uzantılarına Dikkat Edin. İndirdiğiniz bir film dosyasının uzantısı asla .EXE, .LNK, .BAT veya .VBS olmamalıdır. Gerçek video dosyaları genellikle .MKV, .MP4 veya .AVI uzantılıdır. Eğer indirdiğiniz klasörde video ikonu olan ama uzantısı farklı olan bir dosya varsa, kesinlikle tıklamayın.

2. Dosya Boyutu Sizi Ele Verir. Bir sinema filminin yüksek çözünürlüklü hali genellikle gigabyte (GB) boyutlarındadır. Eğer indirdiğiniz “film” dosyası sadece birkaç megabyte (MB) veya kilobyte (KB) büyüklüğündeyse, bu bir film değil, tuzaktır.

3. “Beni Oku” veya “Codec Yükle” Dosyalarına Kanmayın. Korsan içeriklerde sıkça görülen “Filmi izlemek için bu codec paketini yükleyin” veya “Önce bunu çalıştırın” şeklindeki dosyalar, zararlı yazılımı bilgisayarınıza kendi elinizle kurmanızı sağlayan en yaygın yöntemdir.

4. Windows Dosya Uzantılarını Görünür Yapın. Windows varsayılan olarak bilinen dosya uzantılarını gizler. Bu durum, saldırganların “Film.mp4.exe” gibi isimlendirmelerle sizi kandırmasını kolaylaştırır. Klasör seçeneklerinden “Dosya uzantılarını göster” seçeneğini aktif ederek gerçek dosya türünü görebilirsiniz.

5. Korsan İçerikten Uzak Durun ve Güvenlik Yazılımı Kullanın. En kesin çözüm, içerikleri resmi ve yasal platformlardan izlemektir. Ve her zamanda güvende kalabilmek için Bitdefender Total Security gibi gelişmiş bir güvenlik çözümü şarttır.

Korsan DiCaprio filmlerine dikkat: Zararlı yazılım riski yazısı ilk önce En Gazete üzerinde ortaya çıktı.

Kaspersky, LazyGo adı verilen ve bilgi hırsızlığı yapan çeşitli kötü amaçlı yazılımları dağıtan yeni bir Go tabanlı yükleyiciyi kullanan kötü amaçlı yazılım hizmeti modeli (malware-as-a-service (MaaS)) kampanyası tespit etti. Kampanya, Türkçe’ye çevrilmiş John Buchan’ın “39 Basamak” gibi popüler eserlerden, şiir, folklor ve dini pratiklere yönelik Arapça metinlere kadar geniş bir yelpazede arama yapan kullanıcıları hedef alıyor. Sahte e-kitaplar, Tamer Koçel’in “İşletme Yöneticiliği” gibi Türkçe işletme yönetimi kitaplarından çağdaş kurgu eserlerine ve “Umman Sultanlığı’nda Edebi ve Dilbilimsel Hareket” gibi Arapça edebiyat eleştirisi çalışmalarına kadar çeşitlilik gösteriyor.

Kötü amaçlı dosyalar PDF e-kitap gibi görünse de aslında PDF simgesi taşıyan yürütülebilir programlar. Kullanıcılar bu sahte kitapları indirip açtığında, LazyGo yükleyicisi StealC, Vidar ve ArechClient2 gibi bilgi hırsızlarını sistemlere yerleştiriyor. Kaspersky araştırmacıları, API unhooking, AMSI atlatma, ETW devre dışı bırakma ve sanal makine tespitinden kaçınma gibi farklı gizlenme teknikleri kullanan üç farklı LazyGo varyantı tespit etti. 

Saldırganların çaldığı bilgiler şunları içeriyor:

• Tarayıcı verileri: Chrome, Edge, Firefox ve diğer tarayıcılardan kayıtlı parolalar, çerezler, otomatik doldurma verileri ve tarama geçmişi.
• Finansal varlıklar: Kripto para cüzdanı uzantıları, yapılandırma dosyaları ve depolama verileri.
• Geliştirici kimlik bilgileri: AWS kimlik bilgileri, Azure CLI belirteçleri ve Microsoft Identity Platform belirteçleri.
• İletişim platformları: Discord belirteçleri, Telegram Desktop verileri ve Steam oturum bilgileri.
• Sistem bilgileri: Donanım özellikleri, yüklü yazılımlar ve çalışan süreçler.

ArechClient2/SectopRAT ile enfekte olan kurbanlar, saldırganların sistem üzerinde tam uzaktan kontrol elde etmesi nedeniyle ek bir riskle karşı karşıya kalıyor.

Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Yossef Abdelmonem: “Bu kampanyayı özellikle endişe verici kılan unsur, malware-as-a-service modelinin hedefli sosyal mühendislik ile birleştirilmiş olmasıdır. LazyGo yükleyicisinin farklı varyantları ve gelişmiş kaçınma teknikleri, bunun sıradan bir siber suç girişimi olmadığını; kimlik bilgilerini geniş ölçekte toplamak amacıyla kurgulanmış yapılandırılmış bir operasyon olduğunu gösteriyor. Kurumsal altyapıya derin erişim sağlayabileceği için çalınan geliştirici belirteçleri ve bulut kimlik bilgilerinin oluşturduğu risklere karşı kurumların özellikle dikkatli olması gerekiyor.”

Kaspersky’nin telemetrisi, kampanyanın kamu kurumları, eğitim kurumları, BT hizmetleri ve diğer sektörleri etkilediğini gösteriyor. Tehdit aktörleri, kötü amaçlı e-kitapları GitHub’a ve ele geçirilmiş web sitelerine düzenli olarak yüklemeye devam ettiği için kampanya halen aktif durumda.

Kaspersky uzmanları, kullanıcıların e-kitap indirmeden önce kaynakları doğrulamasını, dosya özelliklerini dikkatle incelemesini ve gelişmiş kaçınma tekniklerini algılayabilecek güncel bir güvenlik çözümü kullanmasını öneriyor. Güvenlik çözümü seçerken, bağımsız testlerle doğrulanmış güçlü kötü amaçlı yazılım tarama yeteneklerine sahip ürünlere yönelmek önem taşıyor. AV-Comparatives tarafından gerçekleştirilen son değerlendirmeye göre, Kaspersky Premium, 9.995 dosyadan oluşan test setinde yüzde 99,99 kötü amaçlı yazılım belirleme oranı göstererek yüksek düzeyde koruma sağladığını kanıtladı.

Siber suçlular, kişisel verileri çalmak için popüler e-kitapları yem olarak kullanıyor yazısı ilk önce En Gazete üzerinde ortaya çıktı.

Şikayetvar verilerine göre dava-icra SMS dolandırıcılığı vakaları son üç yılda hızla tırmanışa geçti. Bu dolandırıcılık türünde 2023’te 75 olan şikayet sayısı 2024’te 855’e çıktı. 2025’in Eylül ayına kadar kaydedilen şikayet sayısıysa 8 bin 798… 2024 ile 2025’in Eylül ayına kadar yıllık bazda şikayet artış oranı yüzde 929’a ulaştı. 2025 yılı içerisinde şikayetlerin en çok arttığı dönem Haziran ve Temmuz oldu. Haziran ayında 886 olan şikayet sayısı, Temmuz’da yüzde 57 artışla bin 388’e ulaştı.

Adım adım dolandırılma

Şikayetvar tarafından açıklanan verilere göre dolandırıcılar genellikle “icra başlatılacaktır”, “arabuluculuk dosyanızın son günü” gibi hukuki dil kullanan kısa mesajlar gönderiyor. Yurttaşlara gönderilen mesajlarda yer alan telefon numaralarının aranması veya şüpheli linklere tıklanması isteniyor. Şikayetlerde sıkça bildirilen senaryolar arasında hiç sipariş verilmemiş ürünler üzerinden 10 bin TL’yi aşan borç iddiaları, “2 bin 800 TL öderseniz dosya kapanır” gibi baskılar, telefonda bağırma ve tehditkar üslup ile hızlı ödeme talebi bulunuyor. Şikayetvar’da yaşadığı mağduriyeti dile getiren birçok yurttaş, platformda yazdıkları şikayetlerde, e-Devlet ve UYAP gibi resmi kaynaklarda herhangi bir kayıt bulamadığını belirterek bazıları ise ad-soyad ve telefon bilgilerinin nasıl elde edildiğini sorguluyor.

Peki, bu dolandırıcılık türü neden artıyor? 

Bu saldırı dalgasının arkasında birkaç somut neden var: Toplu SMS/VoIP servisleriyle çok düşük maliyetle yüzbinlerce mesaj gönderilebilmesi, veri sızıntıları ve izinsiz veri ticareti sayesinde saldırganların doğru isim/telefon bilgisi kullanabilmesi… Hukuki söylemle paniğe sürükleyen sosyal mühendislik teknikleri ve ekonomik baskı altındaki kişilerin hızlı ödeme tekliflerine daha kırılgan olması diğer nedenler arasında yer alıyor. Ayrıca, operatör ve regülatif engelleme mekanizmalarındaki gecikmeler ile dolandırıcı ağlarının profesyonelleşmesi ağın büyümesini kolaylaştırıyor.

Tüketiciler için acil öneriler

• Resmi kurumların SMS ile ödeme ya da şifre talep etmediğini unutmayın.
• Gelen mesajlardaki linklere tıklamayın ve numaraları doğrudan aramayın.
• Şüpheli mesajları GSM operatörünüze, BTK’ya ya da Şikayetvar’a bildirin
• Banka hesabınızdan izinsiz bir hareket görürseniz derhal bankanızı ve emniyeti bilgilendirin. E-Devlet ve UYAP üzerinden resmi kayıt kontrolü yapın ve ekran görüntüsü alarak delil saklayın.

Konuyla ilgili Şikayetvar’a ulaşan bazı şikayetlerse şöyle: 

Hapis cezası tehdidiyle 45 bin TL’mi aldılar

“Kendini avukat K. Ö. olarak tanıtan bir kişi tarafından hem telefonla hem de WhatsApp üzerinden defalarca kez arandım ve mesajlar aldım. Söz konusu kişi, bir kıza mesaj attığım iddiasıyla benden farklı tutarlarda (12 bin TL, 20 bin TL, 45 bin TL gibi) para talep etti ve toplamda 45 bin TL’yi mobil bankacılık yoluyla göndermek zorunda kaldım. Bu kişi, mesajlarında ve aramalarında ‘Şu kadar para vermezsen 5 yıl ile 7 yıl arası hapis yatarsın, sicilin kirlenmesin, adresine ve ailene kağıt yollarız’ gibi tehdit ve baskı içeren ifadeler kullandı. Ayrıca, Cumhuriyet Başsavcısı F. E. adına düzenlenmiş ve imzalı olduğu iddia edilen belgeler gönderdi. Belgelerin gerçekliğinden şüphelendim ve numarasını sorguladığımda böyle bir operatör bulunmadığı bilgisini aldım. Bu kişinin gerekli yasal işlemlere tabi tutulmasını talep ediyorum. Kişisel bilgilerimin gizli kalmasını istiyorum ve konunun acilen araştırılmasını rica ediyorum.”

 “Kes sesini, dinle, icra gelince görürsün gününü” dendi

“Son iki ay içinde Av. F. A. adını kullanan bir numaradan bana SMS gönderiliyor. Mesajlarda, hangi firmaya ait olduğu belirtilmeyen bir borcum olduğu, icra takibi başlatılmadan faiz indirimiyle ödeme yapmam gerektiği yazıyor. İsminin bir kısmı kapalı şekilde bana hitap ediliyor. Daha önce bu numarayı aradığımda, telefondaki kişi kaba ve tehditkar bir üslupla, ‘İnternetten ürün almışsın ödememişsin, seni icraya vermememiz için 12 bin TL ödeyeceksin’ dedi. Böyle bir alışverişim ya da borcum kesinlikle yok. Kendisine açıklama yapmaya çalıştığımda ise ‘Kes sesini, dinle, icra gelince görürsün gününü’ şeklinde hakaret ve tehditte bulundu. Hiçbir resmi belge, fatura veya icra bildirimi tarafıma iletilmedi. Bu tür mesaj ve aramaların durdurulmasını, ayrıca bu şahıslar/numara hakkında gerekli yasal işlemlerin başlatılmasını talep ediyorum.”

Hiç sipariş etmediğim ürün için 12 bin TL borç çıkarıldı

“2024’te sosyal medya üzerinden kırışıklık kremi aldığım iddia edilerek, bir avukatlık şirketinden bana mesaj gönderildi. Mesajda, hiç teslim almadığım ve kabul etmediğim bir ürün için 12 bin TL’lik bir dosya borcum olduğu, ancak 2 bin 800 TL ödersem dosyanın kapatılacağı ve temiz bir şekilde çıkacağım belirtildi. Ne bu ürünü sipariş ettim, ne de teslim aldım. Elimde herhangi bir sipariş, fatura ya da teslimat bilgisi bulunmuyor. Ayrıca, ürünün bana teslim edildiğine dair hiçbir belge veya kanıt da sunulmadı. Avukatlık şirketiyle iletişime geçtiğimde, borcu ödemem gerektiği söylenerek baskı yapıldı. Bu iddiayı ve borcu kesinlikle kabul etmiyorum.”

Telefonuma gelen “uzlaşma” SMS ile korkutulmaya çalışıldım

“Bugün telefonuma şu içerikte bir SMS gönderildi: ‘Sayın G. uzlaşma dosyanızın son onay günüdür. Cezai işlemle karşılaşmamak için arayınız.’ Bu mesaj tamamen yanıltıcıdır. Resmi kurumlar veya hukuk büroları SMS yoluyla bu şekilde bildirimde bulunmaz; resmi tebligatlar yalnızca UYAP, PTT veya e-Devlet üzerinden yapılıyor. Vatandaşları korkutarak arama yapmaya ve haksız kazanç sağlamaya yönelik bu tür girişimler suç teşkil ediyor. Bu numaradan ilk kez mesaj aldım ve herhangi bir maddi kaybım veya mağduriyetim olmadı; mesajı dikkate almadım. Benim gibi başka kullanıcıların mağdur olmaması için acil önlem alınmasını talep ediyorum.”

Hapis ve borç tehdidiyle SMS yağmuru: Şikayetler yüzde 929 arttı yazısı ilk önce En Gazete üzerinde ortaya çıktı.

Siber güvenlik alanında dünya lideri olan ESET, Polonya’dan kötü amaçlı yazılım tarama platformu VirusTotal’e yüklenen bir HybridPetya önyükleme kiti ve fidye yazılımı keşfetti. Örnek, kötü şöhretli Petya/NotPetya kötü amaçlı yazılımının bir kopyası; ancak UEFI tabanlı sistemleri tehlikeye atma ve CVE-2024-7344’ü silah olarak kullanarak eski sistemlerdeki UEFI Güvenli Önyüklemeyi atlatma yeteneğine sahip. ESET telemetri verileri, HybridPetya’nın henüz gerçek ortamda kullanıldığına dair herhangi bir işaret göstermiyor. 

Keşfi yapan ESET araştırmacısı Martin Smolár yaptığı açıklamada “2025 yılının Temmuz ayı sonlarında, notpetyanew.exe ve benzeri çeşitli dosya adları altında şüpheli fidye yazılımı örnekleri ile karşılaştık. Bu örnekler, 2017 yılında Ukrayna ve diğer birçok ülkeyi vuran, kötü şöhretli yıkıcı kötü amaçlı yazılımla bir bağlantı olduğunu düşündürüyor. NotPetya saldırısı, toplamda 10 milyar dolardan fazla hasara yol açan, tarihin en yıkıcı siber saldırısı olarak kabul ediliyor. Yeni keşfedilen örneklerin hem Petya hem de NotPetya ile ortak özellikleri nedeniyle bu yeni kötü amaçlı yazılıma HybridPetya adını verdik” dedi.

Kurbanın kişisel kurulum anahtarını oluşturmak için kullanılan algoritma, orijinal NotPetya’dan farklı olarak, kötü amaçlı yazılım operatörünün kurbanın kişisel kurulum anahtarlarından şifre çözme anahtarını yeniden oluşturmasına olanak tanıyor. Böylece HybridPetya, Petya’ya daha çok benzeyen normal bir fidye yazılımı olarak işlevini sürdürüyor. Ayrıca HybridPetya, EFI Sistem Bölümüne kötü amaçlı bir EFI uygulaması yükleyerek modern UEFI tabanlı sistemleri de tehlikeye atabilir. Dağıtılan UEFI uygulaması, NTFS ile ilgili Ana Dosya Tablosu (MFT) dosyasının şifrelenmesinden sorumlu. Bu dosya, NTFS formatlı bölümdeki tüm dosyalar hakkında bilgi içeren önemli bir meta veri dosyasıdır. 

Smolár “Biraz daha araştırma yaptıktan sonra, VirusTotal’de daha da ilginç bir şey keşfettik: Çok benzer bir HybridPetya UEFI uygulaması da dâhil olmak üzere tüm EFI Sistem Bölümü içeriğini içeren bir arşiv ancak bu sefer CVE-2024-7344’e karşı savunmasız, özel olarak biçimlendirilmiş bir cloak.dat dosyasında paketlenmiş olarak. CVE-2024-7344, ekibimizin 2025’in başlarında ortaya çıkardığı UEFI Güvenli Önyükleme atlama güvenlik açığı,” dedi. Ocak 2025 tarihli ESET yayınları, istismarın ayrıntılarını kasıtlı olarak vermemişti; bu nedenle, kötü amaçlı yazılımın yazarı, güvenlik açığı bulunan uygulamayı kendi başına tersine mühendislik yaparak doğru cloak.dat dosya formatını yeniden oluşturmuş olabilir. 

ESET telemetri verileri, HybridPetya’nın henüz aktif olarak kullanılmadığını gösteriyor; bu nedenle HybridPetya, bir güvenlik araştırmacısı veya bilinmeyen bir tehdit aktörü tarafından geliştirilen bir kavram kanıtı olabilir. Ayrıca bu kötü amaçlı yazılım, orijinal NotPetya’da görülen agresif ağ yayılımını sergilemiyor.

ESET’ten, Petya’nın mirasçısı HybridPetya için kritik uyarı yazısı ilk önce En Gazete üzerinde ortaya çıktı.

IPFS, dünyanın dört bir yanındaki kullanıcıların dosya alışverişi yapmasına olanak tanıyan dağıtık bir dosya sistemine verilen isim. Merkezi dosya sistemlerinin aksine IPFS, dosya yollarına göre değil, benzersiz içerik tanımlayıcılarına (CID) göre yapılan adreslemeyi kullanıyor. Bu teknikte dosyanın kendisi, onu IPFS’ye “yükleyen” kullanıcının bilgisayarında bulunuyor ve doğrudan bu bilgisayardan indiriliyor. Normalde IPFS’ye bir dosya yüklemek veya indirmek için özel bir yazılım (IPFS istemcisi) kullanmak gerekiyor. Bununla birlikte özel ağ geçitleri sayesinde kullanıcıların IPFS’de bulunan dosyaları herhangi bir yazılım yüklemeden serbestçe görüntülemesi sağlayabiliyor.

2022 yılında dolandırıcılar IPFS’yi e-posta kimlik avı saldırıları için aktif olarak kullanmaya başladı. Bu teknikte IPFS’ye kimlik avı formu içeren HTML dosyaları yerleştiriliyor ve ağ geçitlerini proxy olarak kullanılıyor. Böylece kurbanlar cihazlarında bir IPFS istemcisi çalıştırıyor olsalar da olmasalar da dosyayı açabiliyorlar. Dolandırıcılar ayrıca ağ geçidi üzerinden dosya erişim bağlantılarını kurbanlara gönderilen kimlik avı mesajlarına dahil ediyor.

Saldırılardan merkezi olmayan, dağıtık özellikteki bu dosya sisteminin kullanılması saldırganların kimlik avı sayfası barındırma maliyetlerinden tasarruf etmelerini sağlıyor. Bunun yanı sıra üçüncü şahıslar tarafından yüklenen dosyaları IPFS’den silmek mümkün olmuyor. Birisi bir dosyanın sistemden tamamen kaybolmasını istiyorsa dosya sahibinin onu bilgisayarından silmeye teşvik etmesi gerekiyor. Ancak bu yöntem, siber suçlular söz konusu olduğunda pek de gerçekçi değil.

IPFS ağ geçidi sağlayıcıları, alternatif olarak sahte dosyalara giden bağlantıları düzenli olarak silerek IPFS kimlik avı ile mücadele etmeye çalışıyor.

Ancak ağ geçidi düzeyinde bağlantıların tespiti ve silinmesi işlemi her zaman bir kimlik avı web sitesinin, bulut formunun veya belgenin engellenmesi kadar hızlı gerçekleşmiyor. IPFS dosyalarının URL adresleri ilk olarak Ekim 2022’de ortaya çıktı. Şu an için bu kampanya devam ediyor ve adresler Kaspersky tarafından engelleniyor.

IPFS bağlantıları içeren oltalama mesajları da orijinal olmaktan oldukça uzak. Hepsi kurbanın hesap giriş bilgilerini ve şifresini elde etmeyi amaçlayan tipik oltalama mesajları içeriyorlar. Bu teknikle ilgili ilginç olan tek şey HTML sayfası bağlantılarının nereye gittiği.

URL parametresi alıcının e-posta adresini içeriyor. Değiştirildiğinde, oltalama formunun üstündeki kurumsal logo ve giriş alanına girilen e-posta adresi de değişiyor. Bu şekilde tek bir bağlantı farklı kullanıcıları hedefleyen çeşitli kimlik avı kampanyalarında, hatta bazen düzinelerce kampanyada kullanılabiliyor.

Kaspersky, 2022’nin sonlarına doğru bazı durumlarda günde 15 bine ulaşan IPFS kimlik avı mesaj trafiği gözlemledi. Bu yıldan itibaren de IPFS kimlik avı saldırılarının ölçeği büyümeye başladı ve Ocak ve Şubat aylarında günde 24 binden fazla mesaja ulaştı.

IPFS kimlik avı saldırılarının sayılarındaki değişim, Kasım 2022 – Şubat 2023.

Şubat ayı IPFS kimlik avı faaliyetleri açısından en yoğun ay oldu. Araştırmacılar yalnızca bu ayda yaklaşık 400 bin mesaj gözlemledi. Bu Kasım ve Aralık 2022’ye kıyasla 100 bin artışa karşılık geliyor.

Kaspersky Güvenlik Uzmanı Roman Dedenok, konuyla ilgili şunları söylüyor: “Saldırganlar kâr elde etmek için en son teknolojileri kullandılar ve kullanmaya devam edecekler. Son zamanlarda hem kitlesel hem de hedefli IPFS kimlik avı saldırılarının sayısında bir artış gözlemliyoruz. Dağıtık dosya sistemi, dolandırıcıların alan adından tasarruf etmelerini sağlıyor. Ayrıca bu teknikte bir dosyayı tamamen silmek kolay değil. Ancak IPFS ağ geçidi düzeyinde dolandırıcılıkla mücadele etmeye dair bazı girişimler de mevcut. İyi haber şu ki, anti-spam çözümleri IPFS’deki kimlik avı dosyalarına giden bağlantıları tıpkı diğer kimlik avı bağlantılarında olduğu gibi tespit ederek engelleyebiliyor. Özellikle Kaspersky ürünlerinde IPFS kimlik avını tespit etmek için bir dizi sezgisel yöntem kullanıyoruz.” 

IPFS kimlik avı saldırıları hakkında daha fazla bilgi için Securelist’e bakabilirsiniz. 

Kaspersky, kendinizi ve şirketinizi spam e-posta kampanyalarından korumak için aşağıdakileri öneriyor:

• Personelinize temel siber güvenlik hijyeni eğitimi verin. Kimlik avı e-postalarını nasıl ayırt edeceklerini bildiklerinden emin olmak için simüle edilmiş kimlik avı saldırıları düzenleyin
• Kimlik avı e-postası yoluyla bulaşma olasılığını azaltmak için uç noktalarda ve posta sunucularında Kaspersky Endpoint Security for Business gibi kimlik avı önleme özelliklerine sahip bir koruma çözümü kullanın.
• Microsoft 365 bulut hizmeti kullanıyorsanız, onu da korumayı unutmayın. Kaspersky Security for Microsoft Office 365, güvenli iş iletişimi için SharePoint, Teams ve OneDrive uygulamalarına yönelik korumanın yanı sıra spam ve kimlik avı önleme özelliğine sahiptir.

Kaynak: (BYZHA) Beyaz Haber Ajansı

Siber dolandırıcılar, saldırılarında merkezi olmayan dosya sistemi kullanarak ‘Gezegenler Arası’ hale geldi yazısı ilk önce En Gazete üzerinde ortaya çıktı.