Kötü amaçlı yazılım yaymak için kırılmış oyunları veya uygulamaları kullanmak siber suçluların en eski numaralarından biridir. Kulağa inanılmaz gelse de, Robin Hood’lara inanan ve korsan web sitelerinden kırılmış yazılım ve oyun indirmenin kesinlikle güvenli olduğunu düşünen saf kurbanlar 2024 yılında hâlâ var. Tehdit türünün kendisi eski olabilir, ancak kötü niyetli saldırganlar, kötü amaçlı yazılımları dağıtmak için kurbanların bilgisayarlarındaki güvenliği atlatmanın yeni yollarını bulmaya devam ediyor.
Kısa süre önce macOS’un yeni sürümlerini (13.6 ve üstü) çalıştıran Apple bilgisayarlarını hedef alan ve kötü amaçlı yüklerin indirilmesi için belirli Alan Adı Sistemi (DNS) özelliklerinden yararlanan bu türden yeni bir saldırı keşfettik. Kurbanlara popüler uygulamaların kırılmış sürümlerini ücretsiz olarak indirmeleri teklif ediliyor. Peki şeytana uyanları ne bekliyor?
Sahte aktivasyon
Kırılmış uygulamayı içerdiği iddia edilen bir disk imajını indirdikten sonra, kurbandan Uygulamalar klasörüne iki dosya kopyalaması istenir: uygulamanın kendisi ve sözde bir “aktivatör”. Uygulamayı kopyalayıp başlatırsanız, çalışmayacaktır. Kılavuza göre, kırılan uygulamanın önce “etkinleştirilmesi” gerekiyor. Analizimiz, aktivatörün karmaşık bir şey yapmadığını ortaya çıkardı: işlevsel hale getirmek için sadece uygulamanın yürütülebilir dosyasının başından birkaç baytı kaldırıyor. Başka bir deyişle, siber suçlular önceden kırılmış bir uygulamayı, öncesinde “etkinleştirilmediği” sürece çalışmasını engelleyecek şekilde değiştiriyorlar. Aktivatörün hiç kimseyi şaşırtmayan kötü bir olumsuz etkisi de var: Çalıştırıldığında yönetici izinleri istiyor ve bu izinleri sisteme bir indirme komut dosyası yüklemek için kullanıyor. Komut dosyası daha sonra web’den başka bir yük indiriyor; bu, operatörlerinden ara sıra komutlar isteyen bir arka kapı.
DNS üzerinden bağlantı
Aktivatör, kötü amaçlı komut dosyasını indirmek için hem alışılmadık hem de masum görünen bir araç kullanır: Alan Adı Sistemi (DNS). Daha önce DNS ve Güvenli DNS hakkında bir yazı kaleme almıştık, ancak o yazıda hizmetin ilginç bir teknik özelliğini atladık. Her DNS kaydı yalnızca bir sunucunun internet adını IP adresiyle ilişkilendirmekle kalmaz, aynı zamanda sunucunun TXT kaydı olarak adlandırılan serbest biçimli bir metin açıklamasını da içerebilir. Kötü niyetli kişiler TXT kayıtlarının içine kötü niyetli kod parçacıkları yerleştirerek bu durumdan faydalanıyor. Aktivatör, kötü amaçlı bir alan adına ait üç TXT kaydı indirir ve bunlardan bir komut dosyası oluşturur.
Görünüşte karmaşık olsa da, bu kurulumun bir dizi avantajı vardır. Başlangıç olarak, aktivatör özellikle şüpheli bir şey yapmaz: her web uygulaması DNS kayıtlarını ister – herhangi bir iletişim oturumu zaten bu şekilde başlamalıdır. İkinci olarak, kötü niyetli kişiler alan adının TXT kayıtlarını düzenleyerek bulaşma modelini ve nihai yükü değiştirmek için komut dosyasını kolayca güncelleyebilir. Son olarak, Alan Adı Sisteminin dağıtık yapısı nedeniyle kötü niyetli içeriği web’den kaldırmak kolay bir iş değildir. İnternet servis sağlayıcıları ve şirketler politikalarının ihlal edildiğini tespit etmekte bile zorlanacaklardır çünkü bu TXT kayıtlarının her biri kendi başına hiçbir tehdit oluşturmayan kötü amaçlı bir kod parçacığından ibarettir.
Bölüm sonu canavarı
Periyodik olarak çalışan indirme komut dosyası, saldırganların kötü amaçlı yükü güncellemelerine ve kurbanın bilgisayarında istedikleri eylemleri gerçekleştirmelerine olanak tanır. Analizimiz sırasında, kripto para çalmakla ilgilendiklerini gösterdiler. Arka kapı, kurbanın bilgisayarında Exodus veya Bitcoin cüzdanlarını otomatik olarak tarar ve bunları truva atı haline getirilmiş versiyonlarıyla değiştirir. Virüs bulaşmış bir Exodus cüzdanı, kullanıcının güvenlik şifresini ve virüs bulaşmış Bitcoin cüzdanını yani özel anahtarları şifrelemek için kullanılan şifreleme anahtarını çalar. Bunlardan ikincisi, saldırganlara kurban adına transferleri imzalama olanağı verir. Bu şekilde korsan uygulamalar sayesinde birkaç kuruş tasarruf etmeye çalışırken çok daha büyük bir miktarı kripto para olarak kaybetmeniz mümkündür.
Kripto cüzdanlarına yönelik bir saldırıya karşı kendinizi koruma
Bu yeni bir şey değil ama yine de doğru: bu tehditten uzak durmak ve bir kurban olmaktan kaçınmak için uygulamaları yalnızca resmi mağazalardan indirin. Bir geliştiricinin web sitesinden bir uygulama indirmeden önce, uygulamanın orijinal ürün olduğundan ve çok sayıdaki kimlik avı sitelerinden birinden gelmediğinden emin olun.
Bir uygulamanın kırılmış bir sürümünü indirmeyi düşünüyorsanız, bunu bir kez daha düşünün. “Titiz ve güvenilir” korsan siteler, elfler ve tek boynuzlu atlar kadar nadirdir.
Bilgisayar okuryazarlığınız, dikkatiniz ve ayrıntılara verdiğiniz önem ne kadar yüksek olursa olsun, telefon, tablet ve bilgisayar gibi cihazlarınızın tümünde kapsamlı güvenlik önlemleri kullandığınızdan emin olun. Kaspersky Premium iyi bir platformlar arası çözümdür. Tüm temel ve gelişmiş güvenlik özelliklerinin etkin olup olmadığını kontrol edin. Kripto para sahipleri için, yukarıdakilere ek olarak, hem hot hem de cold kripto cüzdanlarını korumaya yönelik ayrıntılı talimatlarımızı okumanızı öneririz.