Tehdit aktörü, 2024 yılının Temmuz ayında popüler bir çevrimiçi tarayıcıda bir müşterinin kaynak kodunda bulunan ve GodRAT adlı yeni tanımlanmış Uzaktan Erişim Truva Atını (RAT) kullandı. GodRAT V3.5_______dll.rar adlı arşiv, hem çalıştırılabilir hem DLL yükleri oluşturabilen GodRAT oluşturucuyu da içeriyor. Bu oluşturucu, saldırganların kod enjeksiyonu için meşru işlem adlarını seçerek (ör. svchost.exe, cmd.exe, wscript.exe) ve son dosyayı .exe, .com, .bat, .scr ve .pif gibi çeşitli formatlarda kaydederek kötü amaçlı yükü gizlemelerine olanak tanıyor.

Saldırganlar, tespit edilmekten kaçınmak için finansal verileri gösteren görüntü dosyalarına kabuk kodu yerleştirmek için steganografi tekniğini kullandılar. Bu kabuk kodu, GodRAT kötü amaçlı yazılımını bir Komuta ve Kontrol (C2) sunucusundan indiriyor. RAT daha sonra yapılandırma bloğunda belirtilen bağlantı noktasını kullanarak C2 sunucusuna bir TCP bağlantısı kuruyor. İşletim sistemi ayrıntılarını, yerel ana bilgisayar adını, kötü amaçlı yazılım işlem adını ve işlem kimliğini, kötü amaçlı yazılım işlemiyle ilişkili kullanıcı hesabını, yüklü antivirüs yazılımını ve yakalama sürücüsünün varlığını topluyor.

GodRAT eklentileri de destekliyor. Bir kez yüklendikten sonra saldırganlar, kurbanların sistemlerini keşfetmek için FileManager eklentisini kullandılar ve kimlik bilgilerini ele geçirmek için Chrome ve Microsoft Edge’i hedef alan şifre hırsızlarını dağıttılar. GodRAT’a ek olarak, uzun süreli erişimi sürdürmek için ikincil bir implant olarak AsyncRAT’ı da kullandılar.

Kaspersky Küresel Araştırma ve Analiz Ekibi Güvenlik Araştırmacısı Saurabh Sharma, konuya ilişkin şunları söyledi: “GodRAT, Kaspersky tarafından 2023 yılında rapor edilen ve muhtemelen Winnti APT ile bağlantılı olan AwesomePuppet’ın bir evrimi gibi görünüyor. Dağıtım yöntemleri, nadir komut satırı parametreleri, Gh0st RAT ile kod benzerlikleri ve ortak kalıntıları (örneğin, ayırt edici parmak izi başlığı), ortak bir kökeni işaret ediyor. Neredeyse yirmi yıllık olmasına rağmen Gh0st RAT gibi eski implant kod tabanları tehdit aktörleri tarafından aktif olarak kullanılmaya devam ediyor, genellikle çeşitli kurbanları hedeflemek için özelleştirilip yeniden oluşturuluyor. GodRAT’ın keşfi, bu tür uzun süredir bilinen araçların günümüzün siber güvenlik ortamında nasıl hala geçerli olabileceğini gösteriyor.” 

Kaspersky, Skype Messenger aracılığıyla finans kurumlarını hedef alan yeni bir uzaktan erişim Truva atı keşfetti yazısı ilk önce En Gazete üzerinde ortaya çıktı.

Kaspersky uzmanlarına göre, yapay zeka ve otomasyonun yaygınlaşması nedeniyle tehditlerin artmasına bağlı olarak, finansal kurum ve kuruluşların 2024 yılında savunmalarını güçlendirmeleri gerekiyor. Siber güvenlik şirketi, 2024 yılına dair suç yazılımları raporu ve finansal odaklı saldırı tahminlerinde siber saldırılarda artış, doğrudan ödeme sistemlerinin istismarı, Brezilya’daki bankacılık Truva atlarının yeniden canlanması ve açık kaynaklı arka kapılı paketlerde artış öngörüyor. Raporda ayrıca Web3 tehditlerindeki artış ve kötü amaçlı yazılım yükleyicilerine yönelik artan talep gibi eğilimler vurgulanarak, geçen yılki tahminlerin doğruluğuna ilişkin kapsamlı bir inceleme yer alıyor. Tüm bu öngörüler ışığında 2024 yılı, proaktif siber güvenlik stratejileri, sektör işbirliği ve yenilikçi savunma teknikleri gerektiriyor.

Kaspersky uzmanları geçen yıl Web3 tehditlerindeki artışı, kötü amaçlı yazılım yükleyicilerine yönelik artan talebi ve fidye yazılımı gruplarının daha yıkıcı faaliyetlere yöneleceğini doğru bir şekilde tahmin etmişti. “Red Team” çerçeveleri ve Bitcoin ödeme değişimi konusundaki öngörü ise henüz gerçekleşmedi.

İleriye bakıldığında, 2024’te meşru iletişim kanallarını taklit eden siber saldırılarda yapay zeka kaynaklı bir artış öngörülüyor. Bu da düşük kaliteli kampanyaların çoğalmasına yol açacak bir durum. Kaspersky uzmanları, siber suçluların doğrudan ödeme sistemlerinin popülerliğinden faydalanmasıyla panoya kopyalanan verilere odaklı zararlı yazılımların ortaya çıkmasını ve mobil bankacılık Truva atlarının daha fazla kullanılmasını bekliyor. Grandoreiro gibi zararlı yazılım aileleri şimdiden yurtdışına açılarak 40 ülkede 900’den fazla bankayı hedef aldı.

2024’teki bir başka endişe verici eğilim de açık kaynaklı arka kapı paketlerdeki artış eğilimi olabilir. Siber suçlular, yaygın olarak kullanılan açık kaynaklı yazılımlardaki güvenlik açıklarından faydalanarak güvenliği tehlikeye atacak ve potansiyel olarak veri ihlallerine ve mali kayıplara yol açacaklar. Uzmanlar, siber suç ekosistemindeki birbiriyle bağlantılı grupların önümüzdeki yıl daha akışkan bir yapı sergileyeceğini, üyelerin sık sık birden fazla grup arasında geçiş yapacağını ya da aynı anda birden fazla grup için çalışacağını tahmin ediyor. Bu uyum, kolluk kuvvetlerinin söz konusu grupları takip etmesini ve siber suçlarla etkin bir şekilde mücadele etmesini zorlaştıracak.

Diğer önemli tahminler arasında şunlar yer alıyor:

• Otomatik Transfer Sistemlerinin (ATS) küresel olarak benimsenmesi. Mobil ATS’nin küresel olarak benimsenmesi Brezilya sınırlarının ötesine geçecek ve dünya çapındaki siber suçluların bu sistemleri finansal kazanç için istismar etmesine olanak sağlayacak.
• Sıfır gün sayısında azalma, bir günlük istismarlarda artış. Siber suç yazılımı üreticileri, sıfırıncı gün açıklarının azlığı nedeniyle daha yaygın olan bir günlük istismarlara kayacak ve daha fazla erişilebilirlik hedefleyecek.
• Yanlış yapılandırılmış cihaz ve hizmetlerin istismarı. Siber suçlular saldırıyı başlatmak için yetkisiz erişim sağlayan yanlış yapılandırılmış cihaz ve hizmetleri istismar etme yoluna gidecek.

Kaspersky GReAT Baş Güvenlik Araştırmacısı Marc Rivero, şunları söylüyor: “2024 yılında finansal siber güvenliğin sürekli gelişen ortamında otomasyonla birlikte tehditlerin de artmasını bekliyoruz. Siber suçlular bu konuda durmak bilmeyen bir ısrar içinde olacaklar. Saldırganlardan bir adım önde olmak için finansal kurum ve kuruluşlar siber güvenlik stratejilerini proaktif bir şekilde uyarlamalı, varlıklarını ve hassas verilerini korumak için savunmalarını güçlendirmelidir. Korunmada başarının anahtarı, önümüzdeki yıl finansal siber güvenlik alanındaki artan risklere karşı birleşik bir cephe oluşturarak kamu ve özel sektör arasında işbirliğini teşvik etmekte yatıyor.”

2024 yılına ilişkin finansal tahminlerin tamamını Securelist.com adresinde bulabilirsiniz.

Paylaşılan finansal tahminler, siber güvenlik dünyasındaki önemli değişimler hakkında yıllık tahminler ve analitik raporlar serisi olan Kaspersky Security Bulletin’in (KSB) bölümlerinden biri olan Kaspersky’nin 2024 Dikey Tehdit Tahminlerinin bir parçasıdır. KSB’nin diğer bölümlerine göz atmak için bu bağlantıyı takip edin.

Kaynak: (BYZHA) Beyaz Haber Ajansı

2024’te finansal siber güvenliğe bakış: Bankacılık Truva atları, bağlantılı grupların yükselişi, doğrudan ödeme sistemlerine yönelik saldırılar yazısı ilk önce En Gazete üzerinde ortaya çıktı.

Kaspersky araştırmacıları, Google Play kullanıcılarını hedef alan yeni bir Truva atı ailesi keşfetti. Fleckpe olarak adlandırılan ve aboneliğe dayalı bir gelir modeli izleyen bu Truva atı, fotoğraf düzenleyici ve duvar kağıdı indirici süsü verilmiş mobil uygulamalar aracılığıyla yayılıyor ve kullanıcıları haberleri olmadan ücretli hizmetlere abone yapıyor. Fleckpe, 2022’de tespit edildiğinden bugüne 620 binden fazla cihaza bulaştı ve dünyanın dört bir yanındaki kurbanlarını ağına düşürdü.

Alınan tüm önlemlere rağmen zaman zaman Google Play Store’a kötü niyetli uygulamalar yüklenebiliyor. Bunlar arasında en can sıkıcı olan grup aboneliğe dayalı Truva atları. Söz konusu Truva atları kurbanlarını satın almayı asla düşünmedikleri hizmetlere haber vermeden abone yapıyor ve dolandırıcılığın pençesine düşen kurbanlar abonelik ücreti faturalarına yansıyana kadar durumu fark edemiyor. Bu tür kötü amaçlı yazılımlar genellikle Android uygulamalarına yönelik resmi pazarda kendine yer buluyor. Bunlara dair yakın zamanda keşfedilen iki örnek Jocker ailesi ve Harly ailesi olmuştu.

Kaspersky’nin bu alandaki son keşfi Google Play üzerinden fotoğraf düzenleyiciler, duvar kağıdı paketleri ve diğer uygulamaları taklit ederek yayılan Fleckpe adlı yeni Truva atı ailesi oldu. Bu Truva atı, diğerleri gibi farkında olmayan kullanıcıları ücretli hizmetlere abone ediyor.

Kaspersky verileri, yeni keşfedilen Truva atının 2022’den beri aktif olduğunu gösteriyor. Kaspersky araştırmacıları, Fleckpe’nin en az 11 farklı uygulama aracılığıyla 620 binden fazla cihaza yüklenmiş olduğunu tespit etti. Kaspersky raporunu yayınlandığında uygulamalar marketten kaldırılmış olsa da, siber suçluların bu zararlı yazılımı başka kaynaklar üzerinden dağıtmaya devam etmesi mümkün. Bu da gerçek yükleme sayısının daha yüksek olabileceği anlamına geliyor.

Google Play üzerinde Truva atı bulaşmış bir uygulama örneği:

Virüs bulaşmış Fleckpe uygulaması, zararlı yüklerin şifresini çözmekten ve çalıştırmaktan sorumlu kötü amaçlı damlalıklar içeren, son derece iyi gizlenmiş bir yerel kütüphaneyi cihaza yerleştirerek işe başlıyor. Bu yük, saldırganların komuta ve kontrol sunucusuyla bağlantı kuruyor ve ülke ve operatör ayrıntıları da dahil olmak üzere virüs bulaşmış cihazla ilgili bilgileri iletiyor. Ardından ücretli abonelik sayfası cihazla paylaşılıyor. Truva atı gizlice bir web tarayıcısı oturumu başlatıyor ve kullanıcı adına ücretli hizmete abone olmaya çalışıyor. Abonelik için onay kodu gerekiyorsa, yazılım cihazın bildirimlerine erişerek gönderilen onay kodunu da ele geçiriyor. Böylece Truva atı, kullanıcıları istekleri dışında ücretli bir hizmete abone yaparak para kaybetmesine neden oluyor. İlginç bir şekilde, bu durum uygulamanın işlevselliği etkilenmiyor ve kullanıcılar arka planda bir hizmet için ücretlendirildiklerinin farkına varmadan fotoğrafları düzenlemeye veya duvar kağıtlarını ayarlamaya devam edebiliyor.

Kaspersky Güvenlik Araştırmacısı Dmitry Kalinin, şunları söylüyor: “Aboneliğe dayalı Truva atları son zamanlarda dolandırıcılar arasında popülerlik kazanmaya başladı. Bunları kullanan siber suçlular, kötü amaçlı yazılımları yaymak için Google Play gibi resmi pazarlara giderek daha fazla yöneliyor. Truva atlarının artan karmaşası, pazar yerleri tarafından uygulanan çeşitli kötü amaçlı yazılımdan koruma kontrollerini başarıyla atlatmalarına ve uzun süre tespit edilmeden kalmalarına olanak sağlıyor. Bu yazılımlardan etkilenen kullanıcılar ilk etapta söz konusu servislere nasıl abone olduklarını bulamamanın yanı sıra, istenmeyen abonelikleri hemen keşfedemiyor. Tüm bunlar aboneliğe dayalı Truva atlarını siber suçluların gözünde güvenilir bir yasa dışı gelir kaynağı haline getiriyor.” 

Securelist web sitesinden Fleckpe kötü amaçlı yazılımı hakkında daha fazla bilgi edinebilirsiniz.

Kaspersky uzmanları, aboneliğe dayalı zararlı yazılımının bulaşmasını önlemek için kullanıcılara şunları öneriyor:

• Google Play gibi yasal pazarlardan gelenler de dahil olmak üzere uygulamalar konusunda dikkatli olun ve yüklü uygulamalara hangi izinleri verdiğinizi kontrol edin. Bunlardan bazıları güvenlik riski oluşturabilir.
• Telefonunuza Kaspersky Premium gibi bu tür Truva atlarını tespit edebilen bir antivirüs yazılımı yükleyin.
• Üçüncü parti kaynaklardan veya korsan sitelerden uygulama yüklemeyin. Saldırganların insanların ücretsiz şeylere olan düşkünlüğünün farkında olduklarını ve bu durumu her şekilde istismar etmek için çalışacaklarınızı aklınızdan çıkarmayın. 
• Telefonunuzda aboneliğe dayalı kötü amaçlı yazılımı tespit edilmesi durumunda, virüslü uygulamayı derhal cihazınızdan kaldırın veya önceden yüklenmişse devre dışı bırakın.

Kaynak: (BYZHA) Beyaz Haber Ajansı

Truva atı Fleckpe, akıllı telefonları hedef aldı yazısı ilk önce En Gazete üzerinde ortaya çıktı.

“Genelde kullanıcının bilmeden sisteme girmesine izin verdiği Truva Atı virüslerinin tespiti kolay olmayabiliyor ve etkileri sonradan ortaya çıkıyor.” diyen Cyberwise Siber Savunma Merkezi Birim Müdürü Ozan Ceylan “Örneğin PlugX’in, güvenlik korumalarını atlatmak ve bir hedef sistemin kontrolünü ele geçirmek amacıyla x64dbg adlı açık kaynaklı bir Windows hata ayıklama aracı kılığına girdiği gözlemlendi. Bu son PlugX varyantı USB aygıtlarına kendisini Windows işletim dosya sisteminden gizleyecek şekilde bulaşıyor ve kullanıcı, USB cihazının virüs bulaştığını veya muhtemelen ağlarından veri sızdırmak için kullanıldığını bilemiyor. Bu ve benzeri zararlı yazılımları hayatımızdan tamamen çıkarmak yüzde 100 mümkün olmasa da riskleri en aza indirmek için alınacak önlemler var.” şeklinde konuştu. Paylaşılan öneriler şöyle:

• Öncelikle pek çok işletme için hala en zayıf halka olan çalışanların siber güvenlikle ilgili bilinçlendirilmesi ve bilgi düzeylerinin sürekli güncellenmesi çok önemli. Bu sayede sistemi taklit eden bir e-postanın tespiti kolaylaşır ve virüslü dosyaların açılma oranları da düşürülür. 
• Bir Truva atını tespit etmek için ayrıntılara biraz daha dikkat etmek gerekir. Örneğin bilgisayarınıza virüs bulaştığını söyleyen uyarılar ve açılır pencereler olması, bilgisayarınızın yavaşlaması ve zaman zaman çökmesi, bazı programların kendi kendine başlaması veya çalışmaması, bilgisayarınızda yüklemediğiniz programların var olması vb. gibi değişiklikler bir Truva Atı virüsü ile karşı karşıya olduğunuzu gösteriyor olabilir. Bu durumda yapılacak ilk şey, cihazın internet bağlantısı hemen kesilerek BT uzmanlarına başvurmak olmalıdır. 
• Sistemlerin güncel tutulması, sistem ve cihazların düzenli ve sık aralıklarla taranması rutin dışındaki en küçük aktivitelerin zamanında tespit edilmesinde çok önemlidir. Bu nedenle, bunun için yeteri kaynak yoksa mutlaka dışarıdan bir hizmet alınması gerekir.
• Cyberwise’ın sunduğu Güvenlik Operasyon Merkezi (SOC) hizmetleri ve Managed Detection & Response (MDR)  with Microsoft Defender gibi hizmetler Truva Atı virüsleri ile birlikte pek çok siber riskin tespit edilmesi ve bertaraf edilmesinde önemli avantajlar sunar. Bu hizmetleri kullanarak işletmenin siber dayanıklığını artırabilirsiniz. 

Kaynak: (BYZHA) Beyaz Haber Ajansı

Cyberwise Uzmanları Truva Atı Virüslerine Karşı Uyardı yazısı ilk önce En Gazete üzerinde ortaya çıktı.

Mobil hizmetlerin ve teknolojilerin gelişmesiyle birlikte, mobil tehditler de giderek daha yaygın hale geliyor. Kaspersky uzmanları, bu artan endişeyi gidermek için mobil tehdit ortamını sürekli olarak izliyor, tehdit eğilimlerini takip ediyor ve kullanıcıları ve siber güvenlik topluluğunu potansiyel tehlikeler hakkında bilgilendiriyor. Kaspersky ürünleri 2022 yılında 1.661.743 kötü amaçlı yazılım veya istenmeyen yazılım yükleyicisi tespit etti.

En yaygın ve endişe verici mobil tehditlerden biri, çevrimiçi bankacılık ve e-ödeme sistemleriyle ilgili verileri avlamak için kullanılan mobil bankacılık truva atları olarak tanımlanıyor. 2022’de 196.476 mobil bankacılık Truva atı yükleyicisi tespit eden Kaspersky, bu rakamın 2021’dekinden iki kat daha fazla ve son altı yılın en yüksek rakamı olduğunu vurguluyor. Bu durum, siber suçluların mobil bankacılık kullanıcılarını hedef aldığını, finansal verileri çalmaya giderek daha fazla ilgi gösterdiğini ve büyük kayıplara yol açabilecek yeni kötü amaçlı yazılımların oluşturulmasına aktif olarak yatırım yaptığını vurguluyor. 

Siber suçlular, kötü amaçlı yazılımları genellikle hem resmi hem de resmi olmayan uygulama mağazaları aracılığıyla yaymayı tercih ediyor. Mesela Google Play, tüm çabalara rağmen hala Sharkbot, Anatsa/Teaban, Octo/Coper ve Xenomorph gibi bankacılık hedefli truva atı aileleri için yardımcı program kılığına girmiş indiriciler içeriyor. Örneğin Sharkbot, Truva atının kullanıcının cihazında çalışması için gerekli olan paketleri yüklemek adına izin isteyebilen sahte bir dosya yöneticisini dağıtmayı başardı bile.

Kaspersky güvenlik uzmanı Tatyana Shishkova, “Kötü amaçlı yazılım yükleyicilerinin kullanımındaki genel düşüşe rağmen, mobil bankacılık odaklı Truva atlarının büyümeye devam etmesi, siber suçluların finansal kazanca odaklandığının açık bir göstergesidir. Hayatlarımız giderek daha fazla mobil cihazlar etrafında dönerken, kullanıcıların mobil tehditlere karşı tetikte olmaları ve kendilerini korumak için gerekli adımları atmaları her zamankinden daha önemli” diyor. 

Securelist’te 2022’deki mobil tehditleri inceleyen raporun tamamını buradan okuyabilirsiniz.

Kaspersky, kendinizi mobil tehditlerden korumak için aşağıdaki önerileri paylaşıyor:

• Uygulamalarınızı yalnızca Apple App Store, Google Play veya Amazon Appstore gibi resmi mağazalardan indirin. Bu marketlerdeki uygulamalar yüzde 100 güvenli değildir ancak en azından mağaza temsilcileri tarafından kontrol edilirler ve bazı filtreleme sistemleri vardır. Her uygulama bu mağazalara giremez.
• Kullandığınız uygulamaların izinlerini kontrol edin ve özellikle Erişilebilirlik Hizmetleri gibi yüksek riskli izinler söz konusu olduğunda, bir uygulamaya izin vermeden önce dikkatlice düşünün.
• Güvenilir bir güvenlik çözümü, kötü amaçlı uygulamaları ve reklam yazılımlarını risk oluşturmaya başlamadan önce tespit etmenize yardımcı olabilir. Kaspersky tüketici ürünleri gibi güvenlik çözümlerini doğrudan mobil operatörlerden alabilirsiniz.
• iPhone kullanıcıları Apple tarafından sağlanan bazı gizlilik denetimlerine sahiptir ve kullanıcılar bu izinlerin gereksiz olduğunu düşünüyorlarsa fotoğraflara, kişilere ve GPS özelliklerine uygulama erişimini engelleyebilirler.
• İşletim sisteminizi ve önemli uygulamalarınızı güncellemeler çıktıkça güncellemeniz iyi bir tavsiyedir. Birçok güvenlik sorunu, yazılımların güncellenmiş sürümleri yüklenerek çözülebilir.
• Kaspersky, mobil sektörünü, özel siber güvenlik hizmetleri sağlayarak kullanıcılar için güvenlik de dahil olmak üzere her düzeyde siber korumayı geliştirmeye çağırıyor. Kaspersky Consumer Business Alliances, şirketlerin müşterilerine Kaspersky’nin global desteği ve uzmanlığı ile eksiksiz siber güvenlik portföyleri sunmalarını sağlıyor.

Kaynak: (BYZHA) – Beyaz Haber Ajansı

2022’de mobil bankacılık hedefli Truva Atı saldırıları ikiye katlandı yazısı ilk önce En Gazete üzerinde ortaya çıktı.