Siber güvenlik araştırmacıları, kullanıcıların tarayıcılarını kilitleyerek onları sahte teknik destek ekiplerine yönlendiren yeni bir scareware (korku yazılımı) türüne karşı uyarıda bulundu. Barracuda araştırmacıları, 2026 yılının başından bu yana CypherLoc adı verilen bu scareware ile yaklaşık 2,8 milyon saldırı tespit ettiklerini belirtti. Siber güvenlik firmasına göre, CypherLoc kampanyası genellikle bir phishing e-postasıyla başlıyor; e-postadaki veya eke yerleştirilmiş bir bağlantı aracılığıyla kurban kötü amaçlı bir web sayfasına yönlendiriliyor.
İlk etapta zararsız görünen bir web sayfası yükleniyor, ancak tam scareware ortamı ancak belirli koşullar sağlandığında devreye giriyor. Barracuda, yaptığı açıklamada şu ifadelere yer verdi: 'Kod yalnızca sayfa doğru koşullar altında açıldığında şifreyi çözüyor: gerekli URL parça karması (fragment hash) mevcut olduğunda ve sayfa bir dizi kriptografik bütünlük kontrolünden geçtiğinde. Gizli parça eksikse veya sayfa bir tarayıcı (scanner), kum havuzu (sandbox) veya test ortamında açılıyorsa, kötü amaçlı yük çalışmayı reddediyor ve sayfa boş bir ekrana yönlendiriyor. Bu sayede saldırı, güvenlik araçlarından gizleniyor.'
Saldırı daha sonra kullanıcıyı rahatsız etmek için bir dizi eylemle devam ediyor: Tarayıcı tam ekran moduna geçiyor, bağlam menülerini devre dışı bırakıyor, imleci gizliyor ve ekranı katmanlarla kaplıyor. Kontrolü yeniden ele geçirme girişimleri 'yeniden kilitlemeye' neden oluyor. Sahte bir güvenlik sayfası, kullanıcı her tıkladığında uyarı sesleri çalıyor. Bu ekstra etkinlik, tarayıcıyı yavaşlatabilir veya çökmesine neden olabilir. CypherLoc, kullanıcının IP adresini alıp görüntülüyor ve çalışmayan bir giriş pop-up'ı göstererek panik duygusunu artırıyor.
Barracuda, 'Saldırı boyunca ekranda belirgin bir şekilde sahte bir destek telefon numarası görüntüleniyor ve sorunu çözmenin tek yolu olarak sunuluyor. Kurbanlar numarayı aradığında, kendilerini Microsoft destek personeli olarak tanıtan insan operatörler devralıyor ve dolandırıcılığı canlı bir sohbet yoluyla sürdürüyor' dedi. Nihai hedefin ne olduğu tam olarak net değil, ancak kimlik bilgisi hırsızlığı olası seçeneklerden biri.
Peki scareware ile nasıl başa çıkılır? Barracuda Tehdit Analiz Ekibi yöneticisi Saravanan Mohankumar, 'CypherLoc, modern scareware'in bariz kötü amaçlı yazılımlardan, tespit edilmesi zor ve son derece etkili, tarayıcı tabanlı, kullanıcı odaklı dolandırıcılıklara nasıl kaydığını gösteriyor. Kurbanları harekete geçmeye zorlamak için tarayıcının kendisini kullanıyor. Gizli kod, gecikmeli aktivasyon ve agresif ekran davranışını birleştirerek ciddi bir sistem sorunu olduğuna dair ikna edici bir yanılsama yaratırken çok az teknik iz bırakıyor' dedi. Barracuda, kurumsal güvenlik ekiplerinin şüpheli komut dosyası davranışlarını tespit etmek ve engellemek için anti-phishing, tarayıcı ve uç nokta korumaları uygulamasını ve kullanıcıların bu tür tehditler konusunda eğitilmesini öneriyor.
Sistem Güvenliği
Sonuç olarak, CypherLoc gibi scareware saldırıları, geleneksel kötü amaçlı yazılımların ötesine geçerek psikolojik manipülasyon ve tarayıcı tabanlı tekniklerle kullanıcıları hedef alıyor. Kullanıcıların, tanımadıkları e-posta bağlantılarına tıklamaktan kaçınmaları, tarayıcı güvenlik ayarlarını güncel tutmaları ve herhangi bir teknik destek talebi durumunda resmi kanalları kullanmaları büyük önem taşıyor. Kurumlar ise çalışanlarını bu tür tehditlere karşı düzenli olarak eğitmeli ve çok katmanlı güvenlik önlemleri almalıdır.
Kaynak: infosecurity-magazine.com