YouTube kanalınızdaki oyun hileleri videosu nereden geldi?

RedLine Truva atı hırsızı, popüler oyunlar için hile sunma adı altında yayılarak videoların açıklama kısmında kendi bağlantısını ekleyip kurbanlarının YouTube kanallarında video yayınlıyor.

Dünya genelinde 3,2 milyarlık güçlü bir kitleye sahip video oyun pazarı, her türlü iş kolunun ilgisini çekiyor. Zamanla böylesine bir kitlenin oyuncularına özel her türlü bilgisayar cihazının tasarlanması beklenen bir şey olsa da, durum bununla sınırlı kalmadı. Günümüzde artık “oyun” adıyla başlayan her türden ürünle karşılaşabilirsiniz: Oyun mobilyaları, oyun içecekleri, vs. Durum böyleyken siber suçluların da boş durması beklenir mi?

Tutkulu insanlar olan oyuncuların hobilerine olan düşkünlüğü, onları iyi tasarlanmış sosyal mühendislik faaliyetlerinin hedefi haline getiriyor. Bunlar arasında Google Play’de olmayan bir oyunun Android sürümünü veya ücretli bir oyunu ücretsiz oynama şansı sunmak gibi faaliyetler yer alabilir. Oyun dünyasında korsanlık, hile gibi eylemlerin yer aldığı ve ele geçirilmiş hesapları satan karanlık web forumların da olması adeta saldırganlara istedikleri eylemleri gerçekleştirebilecekleri geniş bir tuval sunuyor.

Oyuncu av sezonu başladı: Siber suçlular; hesap, kart numarası ve kripto cüzdan dahil erişebilecekleri her şeyi çalmak amacıyla oyun hilesi paylaşıyor kisvesi altında RedLine Truva atı hırsızını yayıyor.

YouTube’da izleyin: Oyun hilesi gibi görünen Truva atı

Ayrıntılarını Securelist gönderimizde de paylaştığımız Kaspersky’nin son keşfi temelde şu şekilde çalışıyor: Saldırganlar, Rust, FIFA 22, DayZ gibi popüler çevrimiçi oyunlarda nasıl hile kullanılacağını paylaştıklarını iddia ettikleri videoları Youtube’da paylaşır. Oldukça inandırıcı görünen bu videolar, hile yapmaya aşina olan oyuncuları video açıklamalarındaki bir bağlantıya tıklayıp kendiliğinden açılan bir arşivi indirmeleri ve çalıştırmaları gibi hızlı eylemler almaya yönlendirir.

Videonun yaratıcıları, indirmenin başarısız olması durumunda ise oyunculara Microsoft Edge kullanıcılarını kimlik avı ve kötü amaçlı sitelere karşı koruyan bir filtre olan Windows SmartScreen’i devre dışı bırakmalarını tavsiye eder. Ancak aynı yaratıcılar, nedense bu işlemi yapan kullanıcıların bilgisayarlarına bir anda kötü amaçlı bir yazılım paketi yükleneceğinden bahsetmez.

Hile yapmak için bu işlemi yapan şanssız oyuncu, öncelikle tarayıcılardaki kayıtlı parolalardan başlayarak bilgisayardaki neredeyse her türlü değerli bilgiyi çalan RedLine Truva atı hırsızıyla karşılaşır. Ayrıca RedLine, bilgisayardaki komutları çalıştırıp virüslü cihaza başka program da indirip yükleyebilir. Yani kötü niyetli bir görevi tek başına gerçekleştiremezse, arkadaşlarından destek alabilir.

Kurbanın indirdiği RedLine hırsızı, bilgisayarına dağıtılacak bir kripto para madenciliği yazılımı ile birlikte gelir. Oyun bilgisayarları, kripto para madenciliğinde yaygın olarak faydalanılan güçlü GPU’lara sahip olduklarından, siber suçlular için uygun bir hedef haline geliyor.

Hile kullanmanın bedeli

Gerçek hile kullanan oyuncular oyun moderatörleri tarafından yasaklanabilir. Ancak sahte bir hile indirip bilgisayarına yükleyen kullanıcılar çok daha kötü sorunlarla karşılaşabilir.

Oyun hilesi gibi görünen ve indirilip kurulan RedLine hırsızının öncelikli amacı bilgisayardaki değerli her şeyi çalmaya çalışmaktır. Bu değerli şeyler başta şunları içerir:

  • Hesap parolaları,
  • Kart numaraları,
  • Hesaplara parolasız bir şekilde giriş yapmayı sağlayan oturum çerezleri,
  • Kripto cüzdan anahtarları,
  • Mesajlaşma uygulamaları sohbet geçmişi.

İkinci olarak, RedLine ile birlikte gelen kripto madenciliği yazılımı aşağıdaki özel etkilerin görünmesine neden olur:

  • Bilgisayar yavaşlaması,
  • GPU aşınması ve eskimesi,
  • Daha yüksek elektrik faturaları.

Ancak Redline hırsızının yaptıkları bunlarla da sınır değil. Komuta ve kontrol sunucusu üzerinden video indirerek bu videoları kurbanın YouTube kanalında da yayınlar. Dolayısıyla bu etkilere, ödeme yapan kullanıcının itibarını zedeleme riskini de ekleyebiliriz. Bu videolar, kurbanın da indirme işlemini yaptığı ‘kendi kendine açılan arşivi indirin ve yürütün’ açıklamasının yer aldığı hile videolarının aynısı. Böylece döngü sıradaki kurbanı ile devam eder. Dolayısıyla, otomatik olarak yayılmaya devam eden Truva atı, bu süreçte ne yaptığından habersiz daha fazla savunucuya ulaşır.

Bu arada, RedLine distribütörleri daha önce oldukça benzer bir teknik kullanarak kötü amaçlı bir yazılım yükleyicisini bir Windows 11 güncellemesi veya oyuncular arasında popüler bir platform olan Discord için bir yükleyici olarak göstermeye de çalıştılar.

Kendinizi korumanın yolları

Önce malumun ilamıyla başlayalım: Hile indirmeyin. Hile indirmek, etik olmadığı kadar tehlikelidir de. Hile yapmak, oyun geliştiricisiyle yaptığınız kullanıcı sözleşmesini ihlal ederek otomatik olarak gri bölgeye alınmanıza neden olur. Ayrıca bu hileler, hiçbir zaman güvenli ve resmi kanallar aracılığıyla dağıtılmazlar. Resmi olmayan ve doğrulanmamış kaynaklardan bir şey indirdiğinizde ise, kötü amaçlı yazılımlarla karşılaşma olasılığınız her zaman daha fazladır.

Bu nedenle, mümkün olan her yerde iki faktörlü kimlik doğrulamayı etkinleştirmenizi öneririz. Böylece, kötü amaçlı bir yazılım bilgisayarınıza sızmayı başarsa ve önemli parolalarınızı çalsa bile onları kullanamaz.

Ancak yine de, tarayıcı filtreleme gibi koruma özelliklerine sahip güvenli bir güvenlik çözümü kullanın ve asla devre dışı bırakmayın. Antivirüs programlarının sıklıkla gerçek hilelerin kurulumunu bile engellemesi onların da kötü amaçlı yazılımlarla birçok ortak noktası olduğunu gösteriyor. Hile geliştiricilerinin kurbanlarını antivirüs programlarını devre dışı bırakmaya teşvik etmesinin nedeni de bu. Bunu hiçbir koşulda yapmamalısınız. Çünkü korumanızı devre dışı bıraktığınız anda sizi hiçbir şey koruyamaz.

İpuçları