Kaspersky, internet reklamları aracılığıyla yayılan ve Windows PC kullanıcılarını hedef alan kötü amaçlı kampanyaların yeni bir dalgasını keşfetti.
Şirketten yapılan açıklamaya göre, bu saldırıda kullanıcılar internette gezinirken farkında olmadan tüm ekranı kaplayan bir reklama tıklayarak sahte bir CAPTCHA sayfasına veya hırsızlık yazılımlarını indirmek için adımları takip etmelerini isteyen sahte bir Chrome hata mesajına yönlendiriliyor.
Kaspersky, bu yılın başlarında, siber saldırganların kullanıcının insan mı yoksa otomatik bir program ya da bot mu olduğunu doğrulamak için internet sitelerinde ve uygulamalarda kullanılan bir güvenlik özelliği olan CAPTCHA'ların sahtelerini kullanarak "Lumma hırsızı"nı dağıttığına ve özellikle oyuncuları hedef aldığına dair raporlar aldı.
Kullanıcılar internetteki oyun sitelerinde gezinirken, tüm ekranı kaplayan bir reklama tıklamaları için kandırılıyordu. Ardından kullanıcılar sahte bir CAPTCHA sayfasına yönlendiriliyor ve sayfanın altında yer alan talimatlarla hırsızlık yazılımını indirmeleri sağlanıyordu. Kullanıcılar "Ben robot değilim" düğmesine tıkladıklarında, bilgisayarlarının panosuna şifrelenmiş bir Windows PowerShell komutu kopyalanıyor, daha sonra bu komutu terminal kutusuna yapıştırmaları ve "enter" tuşuna basmaları isteniyordu. Böylece Lumma indiriliyor ve başlatılıyordu.
Kötü amaçlı yazılım, kurbanın cihazında kripto para birimiyle ilgili dosyaları, çerezleri ve şifre yöneticisi verilerini arıyor. Ayrıca çeşitli e-ticaret platformlarının web sayfalarını ziyaret ederek görüntülenme sayılarını artırıyor ve saldırganlara ek mali kazanç sağlayabiliyor.
Yeni saldırı dalgasında CAPTCHA yerine Chrome internet tarayıcısında bir hizmet mesajı gibi görünecek şekilde tasarlanmış web sayfası hata mesajının yer aldığı başka bir saldırı senaryosu daha tespit edildi. Saldırganlar, kullanıcıya terminal penceresine "düzeltmeyi kopyalaması" talimatını veriyordu.
Kaspersky, yeni saldırı dalgasının dosya paylaşım hizmetleri, internet uygulamaları, bahis portalları, yetişkinlere yönelik içerik sayfaları, anime toplulukları ve diğer kanallar aracılığıyla dağıtıldığını da saptadı.
Yaptıkları saldırılarda "Amadey Truva Atı"nı da kullanan saldırganlar, Lumma gibi popüler tarayıcılardan ve kripto para cüzdanlarından kimlik bilgilerini çalabiliyor.
Saldırganlar aynı zamanda ekran görüntüleri kaydedebiliyor, uzaktan erişim hizmetleri için kimlik bilgilerini alabiliyor ve cihazlara uzaktan erişim aracı indirerek tam erişim sağlayabiliyor.
Kaspersky telemetrisi, eylül ve ekim aylarında bu kötü amaçlı reklamların 140 binden fazla ortaya çıktığını saptadı. Verilere göre, 20 binden fazla kullanıcı kötü amaçlı komut dosyaları barındıran sahte sayfalara yönlendirildi.
Bu saldırı Latin Amerika ülkeleri (LATAM), Afrika, Orta Doğu ve Asya dahil olmak üzere birçok bölgedeki kullanıcılara ulaştı. (AA)
ABDULVAHİT GÜRASLAN
