VİRÜS BULAŞAN PROJELERİN İÇERİĞİ
Virüs bulaşarak kullanıcıların dikkatini çeken projeler arasında Instagram hesaplarıyla etkileşimi artıran bir otomasyon aracı, Bitcoin cüzdanlarının kontrolünü sağlamak için tasarlanan bir Telegram botu ve Valorant oynarken kullanılan bir crack aracı bulunuyor. Ancak bu projelerin işlevselliği tamamen sahteydi. Kampanyanın arkasındaki siber suçlular, kişisel ve bankacılık verilerini çalmayı, ayrıca kripto cüzdan adreslerini ele geçirmeyi amaçlıyorlardı. Bu kötü niyetli faaliyetler sonucunda siber suçlular, yaklaşık 485 bin dolarlık bir değere sahip olan 5 Bitcoin çalmayı başardı.
SIBER SUÇLULARIN HEDEFİ VE TESPİTLER
Kaspersky, dünya genelinde bu virüslü depoların kullanıldığını belirtiyor ve en çok vakaların Brezilya, Türkiye ve Rusya’da kaydedildiğini tespit etti. Söz konusu bu depolar, geliştiricilere kodlarını yönetme ve paylaşma imkanı tanıyan bir platform olan GitHub’da birkaç yıldır yer almakta. Saldırganlar, muhtemelen yapay zeka destekli ilgi çekici açıklamalar kullanarak GitHub’daki depoların potansiyel hedeflere güvenilir görünmesini sağlamaya çalıştılar. Bu depolardaki kodlar çalıştırıldığında, kurbanların cihazlarına kötü niyetli yazılımlar bulaştırıldığı ve uzaktan kontrol edilebilir hale geldiği görüldü.
KÖTÜ AMAÇLI YAZILIMLARIN AMACI
Projeler, Python, JavaScript, C, C++ ve C# gibi birden fazla programlama dilinde yazılmış olsa da, içlerindeki kötü amaçlı yüklerin ana hedefi değişmedi: Saldırganların kontrolündeki GitHub deposundan diğer kötü niyetli bileşenleri indirip çalıştırmak. Bu bileşenleri arasında, şifreleri, banka hesap bilgilerini, kayıtlı kimlik bilgilerini, kripto para cüzdanı verilerini ve tarayıcı geçmişini toplayarak bunları bir .7z arşivine paketleyip Telegram üzerinden yükleyen bir hırsızlık aracı yer alıyor. Hırsızlık yazılımının siber saldırganlara gönderdiği arşiv, kapsamlı bir yapı içeriyor.
UZAKTAN YÖNETİM ARACILARI VE TEHDİTLER
Bu zararlı bileşenlerin yanı sıra, kurbanın bilgisayarını güvenli bir bağlantı yoluyla uzaktan izlemek ve kontrol etmek amacıyla kullanılan uzaktan yönetim araçları da mevcut. Ayrıca, kurbanların panosunda bulunan kripto para cüzdanı adreslerini arayan ve bunları saldırganın kontrolündeki adreslerle değiştiren bir pano korsanı da bulunuyor. Saldırganın kontrolü altındaki bir Bitcoin cüzdanı, Kasım 2024 tarihinde yaklaşık 5 BTC’lik bir meblağ aldı. Kaspersky GReAT Güvenlik Araştırmacısı Georgy Kucherin, “GitHub gibi kod paylaşım platformları dünya çapında milyonlarca geliştirici tarafından kullanıldığından, tehdit aktörleri gelecekte de sahte yazılımları bir bulaşma tuzağı olarak kullanmaya devam edecek” şeklinde açıklıyor. Kucherin, üçüncü taraf kodlarının işlenmesinde dikkatli olunması gerektiğinin altını çiziyor ve “Bu tür bir kodu çalıştırmadan önce, hangi eylemlerin gerçekleştirildiğini iyice kontrol etmekte fayda var. Böylece sahte projeleri tespit etmek ve bunlara yerleştirilen kötü amaçlı kodların geliştirme ortamını tehlikeye atması önlenebilir” diyor.