{"id":13427,"date":"2025-06-10T18:31:59","date_gmt":"2025-06-10T15:31:59","guid":{"rendered":"https:\/\/www.kaspersky.com.tr\/blog\/?p=13427"},"modified":"2025-06-10T18:31:59","modified_gmt":"2025-06-10T15:31:59","slug":"trojan-password-manager-keepass-lessons","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/trojan-password-manager-keepass-lessons\/13427\/","title":{"rendered":"Truva atl\u0131 KeePass olay\u0131ndan \u00e7\u0131kar\u0131lan dersler"},"content":{"rendered":"

Parolalar\u0131n\u0131 korumak isteyen bir kullan\u0131c\u0131, yanl\u0131\u015fl\u0131kla sald\u0131rganlar\u0131n \u015firket bilgilerine ula\u015fmas\u0131na izin vermi\u015f oldu. Bu beklenmedik sonu\u00e7<\/a>, bir \u00e7al\u0131\u015fan\u0131n pop\u00fcler parola y\u00f6neticisi KeePass\u2019\u0131 indirmeye karar vermesiyle ba\u015flayan bir fidye yaz\u0131l\u0131m\u0131 sald\u0131r\u0131s\u0131na ili\u015fkin yak\u0131n tarihli bir ara\u015ft\u0131rmayla belgelenmi\u015ftir. Burada en \u00f6nemli ayr\u0131nt\u0131, bu \u00e7al\u0131\u015fan\u0131n sahte bir web sitesini ziyaret etmi\u015f olmas\u0131d\u0131r. KeePass a\u00e7\u0131k kaynakl\u0131 bir proje oldu\u011fu i\u00e7in sald\u0131rganlar onu kopyalamakta, de\u011fi\u015ftirmekte ve k\u00f6t\u00fc ama\u00e7l\u0131 \u00f6zellikler eklemekte zorlanmad\u0131lar. Daha sonra uygulamay\u0131 yeniden derlediler ve me\u015fru \u00e7evrimi\u00e7i reklam sistemleri arac\u0131l\u0131\u011f\u0131yla tan\u0131tt\u0131klar\u0131<\/a> sahte web siteleri \u00fczerinden da\u011f\u0131tt\u0131lar.<\/p>\n

Sahte KeePass neyin pe\u015findeydi?<\/h2>\n

Bu k\u00f6t\u00fc niyetli kampanya<\/a>, 2024 y\u0131l\u0131n\u0131n ortalar\u0131ndan ba\u015flayarak en az sekiz ay d\u00fcrd\u00fc. Sald\u0131rganlar resmi KeePass sitesini taklit eden sahte web siteleri kurdular ve KeePass\u2019\u0131 arayan kullan\u0131c\u0131lar\u0131 keeppaswrd, keebass<\/em> ve KeePass-download<\/em> gibi ikna edici adlara sahip alan adlar\u0131na y\u00f6nlendirmek i\u00e7in k\u00f6t\u00fc ama\u00e7l\u0131 reklamlar\u0131<\/a> kulland\u0131lar.<\/p>\n

Kurban KeePass\u2019\u0131 sahte bir siteden indirdi\u011finde, parola y\u00f6neticisi beklendi\u011fi gibi \u00e7al\u0131\u015f\u0131yor, ancak ayn\u0131 zamanda o anda a\u00e7\u0131k olan veri taban\u0131ndaki t\u00fcm parolalar\u0131 \u015fifrelenmemi\u015f bir metin dosyas\u0131na kaydediyor ve sisteme bir Cobalt Strike i\u015faret\u00e7isi<\/a> y\u00fckl\u00fcyordu. Bu, hem bir kurulu\u015fun g\u00fcvenli\u011fini de\u011ferlendirmek hem de ger\u00e7ek siber sald\u0131r\u0131lar ger\u00e7ekle\u015ftirmek i\u00e7in kullan\u0131labilecek bir ara\u00e7.<\/p>\n

Cobalt Strike ile sald\u0131rganlar yaln\u0131zca d\u0131\u015fa aktar\u0131lan parolalar\u0131 \u00e7almakla kalmad\u0131, ayn\u0131 zamanda bunlar\u0131 ek sistemleri tehlikeye atmak ve nihayetinde kurulu\u015fun ESXi sunucular\u0131n\u0131 \u015fifrelemek i\u00e7in de kulland\u0131lar.<\/p>\n

Ara\u015ft\u0131rmac\u0131lar bu sald\u0131r\u0131n\u0131n izlerini internette ararken, KeePass\u2019in be\u015f farkl\u0131 trojanla\u015ft\u0131r\u0131lm\u0131\u015f modifikasyonunu ke\u015ffettiler. Bunlardan baz\u0131lar\u0131 daha basitti; \u00e7al\u0131nan parolalar\u0131 hemen sald\u0131rganlar\u0131n sunucusuna y\u00fckl\u00fcyorlard\u0131.<\/p>\n

Y\u00fcksek gizlili\u011fe sahip k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131mlar<\/h2>\n

K\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131mlar\u0131n me\u015fru yaz\u0131l\u0131mlarla birlikte kurbana verilmesi<\/a> yeni bir \u015fey de\u011fil. Ancak sald\u0131rganlar genellikle kurulum paketine k\u00f6t\u00fc ama\u00e7l\u0131 dosyalar ekler ve b\u00f6ylece bilgisayardaki g\u00fcvenlik \u00e7\u00f6z\u00fcmleri (varsa) bunlar\u0131 kolayca alg\u0131larlar. Sahte KeePass sald\u0131r\u0131s\u0131 \u00e7ok daha dikkatli bir \u015fekilde planlanm\u0131\u015f ve g\u00fcvenlik ara\u00e7lar\u0131ndan daha iyi gizlenmi\u015f.<\/p>\n

T\u00fcm sahte KeePass kurulum paketleri ge\u00e7erli bir dijital imza ile imzalanm\u0131\u015f, bu nedenle Windows\u2019ta herhangi bir endi\u015fe verici uyar\u0131y\u0131 tetiklememi\u015fler. Yeni ke\u015ffedilen be\u015f da\u011f\u0131t\u0131m\u0131n d\u00f6rt farkl\u0131 yaz\u0131l\u0131m \u015firketi taraf\u0131ndan verilen sertifikalar\u0131 vard\u0131. Me\u015fru KeePass farkl\u0131 bir sertifika ile imzalanm\u0131\u015f, ancak \u00e7ok az ki\u015fi Windows uyar\u0131lar\u0131nda Yay\u0131nc\u0131<\/em> sat\u0131r\u0131nda ne yazd\u0131\u011f\u0131n\u0131 kontrol etme zahmetine girer.<\/p>\n

Truva at\u0131 i\u015flevleri, uygulaman\u0131n \u00e7ekirdek mant\u0131\u011f\u0131n\u0131n i\u00e7ine gizlenmi\u015fti ve yaln\u0131zca kullan\u0131c\u0131 bir parola veri taban\u0131 a\u00e7t\u0131\u011f\u0131nda \u00e7al\u0131\u015f\u0131yordu. Ba\u015fka bir deyi\u015fle, uygulama \u00f6nce her zamanki gibi ba\u015flayacak, kullan\u0131c\u0131dan bir veri taban\u0131 se\u00e7mesini ve ana parolas\u0131n\u0131 girmesini isteyecek ve ancak bundan sonra g\u00fcvenlik mekanizmalar\u0131n\u0131n \u015f\u00fcpheli olarak de\u011ferlendirebilece\u011fi eylemleri ger\u00e7ekle\u015ftirmeye ba\u015flayacakt\u0131. Bu da anormal uygulama davran\u0131\u015flar\u0131n\u0131 tespit eden kum havuzlar\u0131n\u0131n ve di\u011fer analiz ara\u00e7lar\u0131n\u0131n sald\u0131r\u0131y\u0131 tespit etmesini zorla\u015ft\u0131r\u0131r.<\/p>\n

Sadece KeePass de\u011fil<\/h2>\n

Ara\u015ft\u0131rmac\u0131lar, KeePass\u2019\u0131n trojanla\u015ft\u0131r\u0131lm\u0131\u015f s\u00fcr\u00fcmlerini da\u011f\u0131tan k\u00f6t\u00fc ama\u00e7l\u0131 web sitelerini ara\u015ft\u0131r\u0131rken, ayn\u0131 etki alan\u0131nda bar\u0131nd\u0131r\u0131lan ilgili siteleri ke\u015ffettiler. Siteler, g\u00fcvenli dosya y\u00f6neticisi WinSCP ve \u00e7e\u015fitli kripto para ara\u00e7lar\u0131 da dahil olmak \u00fczere di\u011fer yasal yaz\u0131l\u0131mlar\u0131n reklam\u0131n\u0131 yapt\u0131. Bunlar daha az kapsaml\u0131 bir \u015fekilde de\u011fi\u015ftirildi ve kurbanlar\u0131n sistemlerine Nitrogen Loader adl\u0131 bilinen k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m\u0131 y\u00fckledi.<\/p>\n

Bu, truva at\u0131 haline getirilmi\u015f KeePass\u2019\u0131n ilk eri\u015fim arac\u0131lar\u0131 taraf\u0131ndan olu\u015fturuldu\u011funu g\u00f6stermektedir. Bu su\u00e7lular, kurumsal bilgisayar a\u011flar\u0131na giri\u015f noktalar\u0131 bulmak i\u00e7in parolalar\u0131 ve di\u011fer gizli bilgileri \u00e7alar ve ard\u0131ndan eri\u015fimi di\u011fer k\u00f6t\u00fc niyetli akt\u00f6rlere, genellikle de fidye yaz\u0131l\u0131m\u0131 \u00e7etelerine satarlar.<\/p>\n

Herkes i\u00e7in bir tehdit<\/h2>\n

Parola \u00e7alan k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m da\u011f\u0131t\u0131c\u0131lar\u0131, \u015f\u00fcphelenmeyen t\u00fcm kullan\u0131c\u0131lar\u0131 ayr\u0131m g\u00f6zetmeksizin hedef almaktad\u0131r. Su\u00e7lular, \u00e7almay\u0131 ba\u015fard\u0131klar\u0131 parolalar\u0131, finansal verileri veya di\u011fer de\u011ferli bilgileri analiz eder, kategorilere ay\u0131r\u0131r ve yeralt\u0131 operasyonlar\u0131 i\u00e7in gerekli olanlar\u0131 di\u011fer siber su\u00e7lulara satar. Fidye yaz\u0131l\u0131m\u0131 operat\u00f6rleri kurumsal a\u011flar i\u00e7in kimlik bilgileri sat\u0131n alacak, doland\u0131r\u0131c\u0131lar ki\u015fisel verileri ve banka kart\u0131 numaralar\u0131n\u0131 sat\u0131n alacak ve spam g\u00f6nderenler sosyal medya veya oyun hesaplar\u0131 i\u00e7in giri\u015f bilgilerini elde edecektir.<\/p>\n

Bu nedenle h\u0131rs\u0131z da\u011f\u0131t\u0131c\u0131lar\u0131n i\u015f modeli, ellerine ge\u00e7irdikleri her \u015feyi kapmak ve k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131mlar\u0131n\u0131 yaymak i\u00e7in her t\u00fcrl\u00fc cazibeyi kullanmakt\u0131r. Truva atlar\u0131; oyunlar ve parola y\u00f6neticilerinden muhasebeciler veya mimarlar i\u00e7in \u00f6zel uygulamalara kadar, her t\u00fcr yaz\u0131l\u0131m\u0131n i\u00e7ine gizlenebilir.<\/p>\n

Ev bilgisayar\u0131n\u0131z\u0131 nas\u0131l koruyabilirsiniz?<\/h2>\n

Uygulamalar\u0131 yaln\u0131zca sat\u0131c\u0131n\u0131n resmi web sitesinden veya b\u00fcy\u00fck uygulama ma\u011fazalar\u0131ndan indirin.<\/p>\n

Dijital imzalara dikkat edin. Daha \u00f6nce hi\u00e7 indirmedi\u011finiz bir program\u0131 ba\u015flatt\u0131\u011f\u0131n\u0131zda Windows, Yay\u0131nc\u0131<\/em> alan\u0131nda dijital imza sahibinin ad\u0131n\u0131 i\u00e7eren bir uyar\u0131 g\u00f6r\u00fcnt\u00fcler. Bunun ger\u00e7ek geli\u015ftiricinin bilgileriyle e\u015fle\u015fti\u011finden emin olun. \u015e\u00fcpheye d\u00fc\u015ft\u00fc\u011f\u00fcn\u00fczde, resmi web sitesindeki bilgileri kontrol edin.<\/p>\n

Arama a\u011f\u0131 reklamlar\u0131na kar\u015f\u0131 dikkatli olun. Bir uygulaman\u0131n ad\u0131n\u0131 arad\u0131\u011f\u0131n\u0131zda, ilk d\u00f6rt veya be\u015f sonucu dikkatlice inceleyin, ancak reklamlar\u0131 g\u00f6rmezden gelin. Geli\u015ftiricinin resmi web sitesi genellikle bu sonu\u00e7lardan biridir. Hangi sonucun resmi web sitesine y\u00f6nlendirdi\u011finden emin de\u011filseniz, adresi b\u00fcy\u00fck uygulama ma\u011fazalar\u0131ndan veya hatta Wikipedia\u2019dan iki kez kontrol etmek en iyisidir.<\/p>\n

T\u00fcm bilgisayarlar\u0131n\u0131zda ve ak\u0131ll\u0131 telefonlar\u0131n\u0131zda Kaspersky Premium<\/a>\u00a0gibi kapsaml\u0131 bir g\u00fcvenlik yaz\u0131l\u0131m\u0131 kulland\u0131\u011f\u0131n\u0131zdan emin olun. Bu sizi \u00e7o\u011fu k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m t\u00fcr\u00fcn\u00fcn bula\u015fmas\u0131ndan koruyacak ve tehlikeli web sitelerini ziyaret etmenizi engelleyecektir.<\/p>\n

Parola y\u00f6neticilerinden uzak durmay\u0131n! Her ne kadar pop\u00fcler bir parola y\u00f6neticisi sofistike bir sald\u0131r\u0131da kullan\u0131lm\u0131\u015f olsa da, \u00f6nemli verilerin \u015fifrelenmi\u015f bi\u00e7imde g\u00fcvenli bir \u015fekilde saklanmas\u0131 fikri her zamankinden daha \u00f6nemlidir. Kaspersky Plus<\/a> ve Kaspersky Premium<\/a> abonelikleri, kimlik bilgilerinizi g\u00fcvenli bir \u015fekilde saklaman\u0131z\u0131 sa\u011flayan Kaspersky Password Manager<\/a>\u00a0i\u00e7erir.<\/p>\n

Kurumunuzu bilgi h\u0131rs\u0131zlar\u0131ndan ve ilk eri\u015fim simsarlar\u0131ndan nas\u0131l korursunuz?<\/h2>\n

Sald\u0131r\u0131larda ger\u00e7ek kimlik bilgilerinin kullan\u0131lmas\u0131 siber su\u00e7lular aras\u0131nda en pop\u00fcler taktiklerden biridir. Kurumsal hesaplar\u0131n \u00e7al\u0131nmas\u0131n\u0131 ve kullan\u0131lmas\u0131n\u0131 zorla\u015ft\u0131rmak i\u00e7in, bilgi h\u0131rs\u0131zlar\u0131yla m\u00fccadele konusunda kurulu\u015flara y\u00f6nelik tavsiyelere<\/a> uyun.<\/p>\n

Sald\u0131rganlara a\u011f\u0131n\u0131za do\u011frudan eri\u015fim sa\u011flayabilen Truva at\u0131 yaz\u0131l\u0131mlar\u0131n\u0131 p\u00fcsk\u00fcrtmek i\u00e7in ek olarak a\u015fa\u011f\u0131daki \u00f6nlemleri \u00f6neriyoruz:<\/p>\n