Korsan bir yazılım indirirken, bilgi çalan kötü amaçlı bir yazılımın cihazınıza sızabileceğini ve bu yazılımların giderek karmaşıklaşan bir suç ekosistemini nasıl beslediğini biliyor muydunuz? Son yıllarda, "infostealer" adı verilen bu kötü amaçlı yazılımlar, büyük güvenlik ihlallerinin arkasındaki temel unsurlardan biri haline geldi.
Geçtiğimiz Ekim ayında, kendini Dark X olarak tanıtan bir hacker, Hot Topic’in sunucularına sızarak 350 milyon müşterinin kişisel verilerini çaldığını iddia etti. Dark X, verileri yeraltı forumlarında satışa çıkardı ve kısa bir süre sonra Hot Topic, saldırıyı fark edip harekete geçti. Bu olay, infostealer ekosisteminin siber güvenlik dünyasında ne kadar büyük bir tehdit oluşturduğunu gözler önüne serdi.
Bilgi Çalan Yazılımlar Nasıl Çalışır?
Infostealer, kurbanın tarayıcısındaki parolaları ve çerezleri çalarak çalışır. Saldırganlar, bu tür yazılımlar aracılığıyla genellikle tarayıcıda depolanan şirket bilgilerine kolayca erişebiliyor. Siber suç dünyasında, bu bilgileri elde etmek isteyenlerin rolleri oldukça karmaşık bir ağda birbirine bağlı: Yazılım kodlayıcıları, yazılımları pazarlayan aracılar ve genç hackerlar, bu ekosistemin parçası.
LummaC2 gibi popüler infostealer yazılımları, kullanıcılara sürekli güncellemeler sunarak Chrome gibi tarayıcıların güvenlik önlemlerini aşmak için sürekli gelişiyor. Bu tür yazılımlar, genellikle Rusya merkezli bir ekip tarafından güncelleniyor ve dünyanın dört bir yanındaki diğer hackerlar tarafından kullanılıyor.
Ekosistemin Büyümesi ve Hukukun Mücadelesi
Ekim sonunda, çeşitli kolluk kuvvetleri iş birliği yaparak bu tür kötü amaçlı yazılımların kullanımını engellemeye çalıştı. Ancak, genişleyen bu ekosistem karşısında yapılan operasyonlar, infostealer yayılımını durdurmak için yetersiz kalıyor. Güvenlik uzmanları, bu tür yazılımları tamamen engellemenin oldukça zor olduğuna ve sadece bir kısmının durdurulabileceğine inanıyor.
404 Media tarafından yapılan araştırmalarda, infostealer geliştiricilerinin tarayıcı güncellemelerine hızlı bir şekilde tepki vererek Chrome güncellemelerini aşmak için sürekli çalıştığı ortaya çıktı. Bir LummaC2 yöneticisi, Chrome’un yeni çerez koruma güncellemelerini aşmak için kaynak ve bilgiye sahip olduklarını belirtti. Google Chrome mühendisleri de bu tehditlere karşı sürekli önlemler alıyor.
Yazılım Geliştiricilerinin Yeni Hedefleri
Başlangıçta kripto para cüzdanlarını hedefleyen infostealer geliştiricileri, tarayıcılarda saklanan şirket bilgileri gibi diğer değerli verilerin de peşine düşmeye başladılar. Bu durum, sağlık, teknoloji ve finans sektörlerinde daha fazla veri ihlaline neden oluyor. 404 Media ile yapılan bir röportajda, bir güvenlik araştırmacısı, infostealer geliştiricilerinin kurumsal verilere olan ilgisinin arttığını ve bu sayede büyük bir pazar yarattıklarını ifade etti.
Kötü Amaçlı Yazılımların Yayılmasında Sosyal Medyanın Rolü
Infostealer yazılımlarının yayılması, "traffer" adı verilen kişiler tarafından gerçekleştiriliyor. Bu kişiler, yazılımı yaymak için sosyal medya, video platformları ve hatta GitHub gibi platformları kullanıyor. YouTube, TikTok ve Instagram gibi platformlarda, infostealer yazılımlarını tanıtmak için sahte videolar, çekilişler veya reklamlar oluşturuluyor. Trafferlar, infostealer yayılımını artırmak için çeşitli kazanç vaatleriyle kullanıcıları yazılımları indirip çalıştırmaya teşvik ediyor.
Örneğin, Roblox için sahte hile yazılımı olarak sunulan infostealer, çocuklar ve gençler arasında hızla yayılabiliyor. Bu yazılımlar, oyun hileleri veya kolay para kazanma araçları gibi masum görünen yöntemlerle kullanıcıları kandırıyor ve onların bilgilerini ele geçiriyor.
Sosyal Mühendislik ve Sıkı Güvenlik Önlemleri
Gelişmiş güvenlik yazılımları, infostealer saldırılarını önlemeye çalışırken; bu yazılımlar, kendilerini sürekli yenileyerek güvenlik önlemlerini aşmaya devam ediyor. Google ve Microsoft gibi teknoloji devleri, kullanıcıların güvenliğini sağlamak için sürekli güncellemeler yayınlasa da, infostealer geliştiricileri bu önlemleri aşmanın yeni yollarını buluyor.
Örneğin, Windows işletim sisteminde, ChromeOS veya macOS’a kıyasla daha zayıf bir güvenlik izolasyonu bulunduğundan, infostealer yazılımlarının buradaki verilere erişmesi daha kolay oluyor. Microsoft yetkilileri, Windows kullanıcılarına yönetici yerine standart kullanıcı hesapları ile oturum açmalarını tavsiye ederek, infostealerların etkilerini azaltmayı hedefliyor.