Bu yılın Mart ayında uzmanlarımız gizli bir forumda, yaratıcıları tarafından BloodyStealer adı verilen bir kötü amaçlı yazılımın reklamı ile karşılaştılar.
Reklamda, virüsün bulaştığı cihazlardan aşağıdaki verileri çaldığı belirtiliyordu:
- Parolalar, çerezler, banka kartı bilgileri, tarayıcıdaki otomatik doldurulan veriler,
- Cihaz verileri,
- Ekran görüntüleri,
- Masaüstündeki ve uTorrent aracısındaki dosyalar,
- Bathesda, Epic Games, GOG, Origin, Steam, Telegram ve VimeWorld aracılarındaki oturum bilgileri,
- Sistem günlükleri.
Reklamın bizi etkileyen kısmı, listelenen programların çoğunun oyunla ilgili olmasıydı ve bu da oyuncu hesaplarının ve içeriklerinin karaborsada talep gördüğüne işaret ediyor. Bunun sonucunda oyuncuların tam olarak hangi risklerle karşı karşıya olduğunu detaylı olarak incelemeye karar verdik.
BloodyStealer dünyayı ele geçiriyor
BloodyStealer nispeten yeni olmasına rağmen, şimdiden dünyayı sarmış durumda. Elde ettiğimiz verilere göre kötü amaçlı yazılım, Avrupa, Latin Amerika ve Asya-Pasifik bölgesindeki kullanıcıları vurdu — hizmet olarak kötü amaçlı yazılım (MaaS) dağıtım modelinin kullanıldığı göz önüne alındığında bu çok da şaşırtıcı değil, yani herkes onu satın alabiliyor ve fiyatı da oldukça düşük (aylık yaklaşık 10 dolar veya “ömür boyu lisans” 40 dolar).
Veri çalma işlevlerine ek olarak kötü amaçlı yazılım, analizi engellemeye yönelik bir dizi araca sahiptir (bu konuda daha fazla bilgiye buradan ulaşabilirsiniz). Kötü amaçlı yazılım çaldığı bilgileri zip arşiv dosyası olarak DDoS ve diğer web saldırılarına karşı korunan C&C sunucusuna gönderiyor. Siber suçlular, oyuncu hesapları da dahil olmak üzere verileri almak için (oldukça basit olan) kontrol panelini veya Telegram’ı kullanıyor.
BloodyStealer bu konuda yalnız değil
BloodyStealer, darkweb’de oyuncu hesaplarını çalmak için kullanılabilen birçok araçtan yalnızca biri. Siber suçlular, çoğu BloodyStealer’dan daha uzun süredir piyasada olan diğer kötü amaçlı yazılımların satışını yapıyor. Ayrıca, gizli forumlarda genellikle popüler bir internet sitesine kötü amaçlı bir bağlantı göndermeyi teklif eden veya otomatik olarak kimlik avı sayfaları oluşturmaya yönelik araçların satışına ilişkin reklamlar yer alıyor.
Bu araçların yardımıyla siber suçlular, büyük miktarda kimlik bilgilerini toplayabiliyor ve ardından para kazanmaya çalışabiliyorlar. Dark web’de oyuncu hesaplarıyla ilgili her türlü satışa ulaşmak mümkün.
Toptan erişime yönelik sistem günlükleri
En popüler ürünler arasında günlükler — hesaplarda oturum açmak için tonlarca veri içeren veritabanları bulunuyor. Saldırganlar verdikleri reklamlarda, veri türlerini, kullanıcıların bulunduğu coğrafi konumu, günlüklerin toplandığı dönemi ve diğer ayrıntıları belirtebiliyorlar. Örneğin aşağıda, gizli bir forum üyesinin, 9.000’i ABD’deki kullanıcılara ve 5.000’i Hindistan, Türkiye ve Kanada’daki kişilere ait olmak üzere toplam 65.600 kaydın yer aldığı bir arşiv dosyasının satışına ilişkin ekran görüntüsü yer alıyor. Tüm arşivin fiyatı 150 dolar (kayıt başına yaklaşık 0,2 sent).
Bununla birlikte, bu veritabanları eski ve hatta işe yaramaz bilgiler de içerebiliyor. Bu nedenle bazı satıcılar, veri tabanlarının güncelliğini doğrulaması adına alıcıların günlükleri kontrol etmelerine izin veriyor.
Oyun hesapları, oyunlar ve oyun envanteri
Siber suçlular, oyun hesaplarına erişimin hem bireysel hem de toptan satışını da yapıyor. Tahmin edildiği üzere, birçok oyunun, eklentinin ve pahalı oyun içi öğenin bulunduğu hesapların özel bir fiyatı oluyor. Genellikle siber suçlular bunları büyük indirimlerle satıyorlar.
Hesap içeriği de yine gerçek değerinin bir kısmı karşılığında alınıp satılabiliyor. Örneğin dark web’de, 50 sentin altında bir fiyatla Need for Speed‘e ve diğer oyunlara ulaşabilirsiniz.
Satışı yapılan şeyler arasında oyun içi öğeler de bulunuyor.
BloodyStealer ve diğer veri hırsızlıklarının kurbanı olmaktan nasıl kaçınabilirsiniz?
Çalınan bir hesabın sahibini bekleyen tek sorun oyunların ve oyun içi öğelerin satılması değildir. Siber suçlular veya alıcılar (kurban açısından hangisi olduğunun pek bir önemi yoktur), satılan hesabı para aklamak, kimlik avı bağlantıları dağıtmak ve diğer yasa dışı şeyler yapmak için kullanabilirler. Siber suçluların tuzağına düşmemek için hesaplarınızın ve cihazlarınızın güvende olduğundan emin olun.
- Hesaplarınızı güçlü parolalar kullanarak koruyun, iki faktörlü kimlik doğrulamayı etkinleştirin ve genellikle kullandığınız platformdaki güvenlik ayarlarını en üst düzeye çıkarın (Steam, Battle.net, Origin, Twitch ve Discord kullanıcılarına yönelik kılavuzlarımıza göz atın).
- BloodyStealer veya diğer kötü amaçlı yazılımların bulaşma olasılığını en aza indirmek için uygulamaları yalnızca resmi kaynaklardan indirin.
- E-postalardaki bağlantılara ve tanımadığınız kişilerden gelen mesajlara karşı dikkatli olun.
- Kimlik bilgilerinizi herhangi bir internet sitesine girmeden önce, sitenin orijinalliğinden emin olun.
- Güvenilir bir güvenlik çözümü kullanın. Örneğin, Kaspersky Security Cloud, BloodyStealer’ı engeller ve oyun oynamanıza engel olmaz.