parola yönetici
Parolalarını korumak isteyen bir kullanıcı, yanlışlıkla saldırganların şirket bilgilerine ulaşmasına izin vermiş oldu. Bu beklenmedik sonuç, bir çalışanın popüler parola yöneticisi KeePass’ı indirmeye karar vermesiyle başlayan bir fidye yazılımı saldırısına ilişkin yakın tarihli bir araştırmayla belgelenmiştir. Burada en önemli ayrıntı, bu çalışanın sahte bir web sitesini ziyaret etmiş olmasıdır. KeePass açık kaynaklı bir proje olduğu için saldırganlar onu kopyalamakta, değiştirmekte ve kötü amaçlı özellikler eklemekte zorlanmadılar. Daha sonra uygulamayı yeniden derlediler ve meşru çevrimiçi reklam sistemleri aracılığıyla tanıttıkları sahte web siteleri üzerinden dağıttılar.
Sahte KeePass neyin peşindeydi?
Bu kötü niyetli kampanya, 2024 yılının ortalarından başlayarak en az sekiz ay dürdü. Saldırganlar resmi KeePass sitesini taklit eden sahte web siteleri kurdular ve KeePass’ı arayan kullanıcıları keeppaswrd, keebass ve KeePass-download gibi ikna edici adlara sahip alan adlarına yönlendirmek için kötü amaçlı reklamları kullandılar.
Kurban KeePass’ı sahte bir siteden indirdiğinde, parola yöneticisi beklendiği gibi çalışıyor, ancak aynı zamanda o anda açık olan veri tabanındaki tüm parolaları şifrelenmemiş bir metin dosyasına kaydediyor ve sisteme bir Cobalt Strike işaretçisi yüklüyordu. Bu, hem bir kuruluşun güvenliğini değerlendirmek hem de gerçek siber saldırılar gerçekleştirmek için kullanılabilecek bir araç.
Cobalt Strike ile saldırganlar yalnızca dışa aktarılan parolaları çalmakla kalmadı, aynı zamanda bunları ek sistemleri tehlikeye atmak ve nihayetinde kuruluşun ESXi sunucularını şifrelemek için de kullandılar.
Araştırmacılar bu saldırının izlerini internette ararken, KeePass’in beş farklı trojanlaştırılmış modifikasyonunu keşfettiler. Bunlardan bazıları daha basitti; çalınan parolaları hemen saldırganların sunucusuna yüklüyorlardı.
Yüksek gizliliğe sahip kötü amaçlı yazılımlar
Kötü amaçlı yazılımların meşru yazılımlarla birlikte kurbana verilmesi yeni bir şey değil. Ancak saldırganlar genellikle kurulum paketine kötü amaçlı dosyalar ekler ve böylece bilgisayardaki güvenlik çözümleri (varsa) bunları kolayca algılarlar. Sahte KeePass saldırısı çok daha dikkatli bir şekilde planlanmış ve güvenlik araçlarından daha iyi gizlenmiş.
Tüm sahte KeePass kurulum paketleri geçerli bir dijital imza ile imzalanmış, bu nedenle Windows’ta herhangi bir endişe verici uyarıyı tetiklememişler. Yeni keşfedilen beş dağıtımın dört farklı yazılım şirketi tarafından verilen sertifikaları vardı. Meşru KeePass farklı bir sertifika ile imzalanmış, ancak çok az kişi Windows uyarılarında Yayıncı satırında ne yazdığını kontrol etme zahmetine girer.
Truva atı işlevleri, uygulamanın çekirdek mantığının içine gizlenmişti ve yalnızca kullanıcı bir parola veri tabanı açtığında çalışıyordu. Başka bir deyişle, uygulama önce her zamanki gibi başlayacak, kullanıcıdan bir veri tabanı seçmesini ve ana parolasını girmesini isteyecek ve ancak bundan sonra güvenlik mekanizmalarının şüpheli olarak değerlendirebileceği eylemleri gerçekleştirmeye başlayacaktı. Bu da anormal uygulama davranışlarını tespit eden kum havuzlarının ve diğer analiz araçlarının saldırıyı tespit etmesini zorlaştırır.
Sadece KeePass değil
Araştırmacılar, KeePass’ın trojanlaştırılmış sürümlerini dağıtan kötü amaçlı web sitelerini araştırırken, aynı etki alanında barındırılan ilgili siteleri keşfettiler. Siteler, güvenli dosya yöneticisi WinSCP ve çeşitli kripto para araçları da dahil olmak üzere diğer yasal yazılımların reklamını yaptı. Bunlar daha az kapsamlı bir şekilde değiştirildi ve kurbanların sistemlerine Nitrogen Loader adlı bilinen kötü amaçlı yazılımı yükledi.
Bu, truva atı haline getirilmiş KeePass’ın ilk erişim aracıları tarafından oluşturulduğunu göstermektedir. Bu suçlular, kurumsal bilgisayar ağlarına giriş noktaları bulmak için parolaları ve diğer gizli bilgileri çalar ve ardından erişimi diğer kötü niyetli aktörlere, genellikle de fidye yazılımı çetelerine satarlar.
Herkes için bir tehdit
Parola çalan kötü amaçlı yazılım dağıtıcıları, şüphelenmeyen tüm kullanıcıları ayrım gözetmeksizin hedef almaktadır. Suçlular, çalmayı başardıkları parolaları, finansal verileri veya diğer değerli bilgileri analiz eder, kategorilere ayırır ve yeraltı operasyonları için gerekli olanları diğer siber suçlulara satar. Fidye yazılımı operatörleri kurumsal ağlar için kimlik bilgileri satın alacak, dolandırıcılar kişisel verileri ve banka kartı numaralarını satın alacak ve spam gönderenler sosyal medya veya oyun hesapları için giriş bilgilerini elde edecektir.
Bu nedenle hırsız dağıtıcıların iş modeli, ellerine geçirdikleri her şeyi kapmak ve kötü amaçlı yazılımlarını yaymak için her türlü cazibeyi kullanmaktır. Truva atları; oyunlar ve parola yöneticilerinden muhasebeciler veya mimarlar için özel uygulamalara kadar, her tür yazılımın içine gizlenebilir.
Ev bilgisayarınızı nasıl koruyabilirsiniz?
Uygulamaları yalnızca satıcının resmi web sitesinden veya büyük uygulama mağazalarından indirin.
Dijital imzalara dikkat edin. Daha önce hiç indirmediğiniz bir programı başlattığınızda Windows, Yayıncı alanında dijital imza sahibinin adını içeren bir uyarı görüntüler. Bunun gerçek geliştiricinin bilgileriyle eşleştiğinden emin olun. Şüpheye düştüğünüzde, resmi web sitesindeki bilgileri kontrol edin.
Arama ağı reklamlarına karşı dikkatli olun. Bir uygulamanın adını aradığınızda, ilk dört veya beş sonucu dikkatlice inceleyin, ancak reklamları görmezden gelin. Geliştiricinin resmi web sitesi genellikle bu sonuçlardan biridir. Hangi sonucun resmi web sitesine yönlendirdiğinden emin değilseniz, adresi büyük uygulama mağazalarından veya hatta Wikipedia’dan iki kez kontrol etmek en iyisidir.
Tüm bilgisayarlarınızda ve akıllı telefonlarınızda Kaspersky Premium gibi kapsamlı bir güvenlik yazılımı kullandığınızdan emin olun. Bu sizi çoğu kötü amaçlı yazılım türünün bulaşmasından koruyacak ve tehlikeli web sitelerini ziyaret etmenizi engelleyecektir.
Parola yöneticilerinden uzak durmayın! Her ne kadar popüler bir parola yöneticisi sofistike bir saldırıda kullanılmış olsa da, önemli verilerin şifrelenmiş biçimde güvenli bir şekilde saklanması fikri her zamankinden daha önemlidir. Kaspersky Plus ve Kaspersky Premium abonelikleri, kimlik bilgilerinizi güvenli bir şekilde saklamanızı sağlayan Kaspersky Password Manager içerir.
Kurumunuzu bilgi hırsızlarından ve ilk erişim simsarlarından nasıl korursunuz?
Saldırılarda gerçek kimlik bilgilerinin kullanılması siber suçlular arasında en popüler taktiklerden biridir. Kurumsal hesapların çalınmasını ve kullanılmasını zorlaştırmak için, bilgi hırsızlarıyla mücadele konusunda kuruluşlara yönelik tavsiyelere uyun.
Saldırganlara ağınıza doğrudan erişim sağlayabilen Truva atı yazılımlarını püskürtmek için ek olarak aşağıdaki önlemleri öneriyoruz:
- Uygulama izin listelerini kullanarak güvenilmeyen yazılımların indirilmesini ve yürütülmesini kısıtlayın. İzin listesi için uygun kriterler arasında “belirli bir satıcıdan gelen uygulamalar” ve belirli bir sertifika ile imzalanmış uygulamalar yer alır. İkinci seçenek KeePass vakasında yardımcı olabilir ve yetkisiz bir sertifika ile imzalanmış bilinen uygulamayı engelleyebilirdi.
- Her iş istasyonu ve sunucuya uç nokta algılama ve yanıt (EDR) sensörlerinin kurulmasını ve elde edilen telemetrinin SIEM veya XDR çözümleriyle analiz edilmesini içeren merkezi bir izleme ve yanıt yaklaşımı uygulayın. Kaspersky Next XDR Expert, bu konuya kapsamlı bir çözüm sunmak için çok uygundur.
- Çalışan eğitimini genişletin. Kimlik avı konusunda dikkatli olmanın yanı sıra, ekibinizi sahte yazılımları, kötü amaçlı reklamları ve diğer sosyal mühendislik tekniklerini tanımaları için eğitmeniz de önemlidir. Kaspersky Automated Security Awareness platformu bu konuda yardımcı olabilir.
İpuçları