CypherLoc Sahtekarlığı: Milyonlarca Kullanıcıyı Hedef Alan Yeni Nesil Tarayıcı Korkutma Yazılımı Windows

CypherLoc Sahtekarlığı: Milyonlarca Kullanıcıyı Hedef Alan Yeni Nesil Tarayıcı Korkutma Yazılımı

Barracuda araştırmacıları, 2026 başından beri 2,8 milyon saldırıda kullanılan CypherLoc scareware'in tarayıcıları kilitleyip kullanıcıları sahte tekni

Siber güvenlik dünyası, yeni bir scareware (korkutma yazılımı) türüyle karşı karşıya. Barracuda araştırmacıları, CypherLoc adı verilen bu kötü amaçlı yazılımın 2026 yılı başından itibaren yaklaşık 2,8 milyon saldırıda kullanıldığını tespit etti. CypherLoc, kullanıcıların tarayıcılarını kilitleyerek onları sahte teknik destek ekiplerine yönlendiren sofistike bir yöntem izliyor. Saldırı genellikle, kurbanı kötü amaçlı bir web sayfasına yönlendiren bir phishing e-postasıyla başlıyor. E-posta içindeki bir bağlantı veya ek dosya aracılığıyla tetiklenen bu sayfa, ilk bakışta zararsız görünüyor.

CypherLoc'un en dikkat çekici özelliği, ancak belirli koşullar sağlandığında aktif hale gelmesi. Barracuda'nın açıklamasına göre, kötü amaçlı kod yalnızca sayfa doğru URL parçasına sahip olduğunda ve bir dizi kriptografik bütünlük kontrolünden geçtiğinde devreye giriyor. Eğer gizli parça eksikse veya sayfa bir tarayıcı, sanal alan veya test ortamında açılıyorsa, kötü niyetli yük çalışmayı reddediyor ve sayfa boş bir ekrana yönlendiriyor. Bu sayede saldırı, güvenlik araçları tarafından tespit edilemiyor.

Aktif hale gelen CypherLoc, kullanıcıyı rahatsız etmek için bir dizi eylem gerçekleştiriyor: Tarayıcı tam ekran moduna geçiyor, sağ tık menülerini devre dışı bırakıyor, fare imlecini gizliyor ve ekranı katmanlarla dolduruyor. Kullanıcı kontrolü yeniden kazanmaya çalıştığında, tarayıcı yeniden kilitleniyor. Sahte bir güvenlik sayfası, her tıklamada uyarı sesleri çalıyor. Bu ekstra aktivite tarayıcıyı yavaşlatıyor veya çökmesine neden olabiliyor. Ayrıca CypherLoc, kullanıcının IP adresini alıp ekranda gösteriyor ve işe yaramayan bir giriş pop-up'ı göstererek paniği artırıyor.

Uzmanların Görüşleri

Saldırı boyunca ekranda belirgin bir şekilde sahte bir teknik destek telefon numarası görüntüleniyor. Barracuda'ya göre, bu numara, sorunu çözmenin tek yolu olarak sunuluyor. Mağdurlar numarayı aradığında, kendilerini Microsoft destek personeli olarak tanıtan insan operatörler devralıyor ve dolandırıcılığı canlı bir sohbetle sürdürüyor. Saldırının nihai hedefi henüz net değil, ancak kimlik bilgilerini çalma olasılığı yüksek.

Barracuda Tehdit Analizi Ekibi yöneticisi Saravanan Mohankumar, CypherLoc'un modern scareware'in geleneksel kötü amaçlı yazılımlardan tarayıcı tabanlı, kullanıcı kaynaklı dolandırıcılıklara doğru kaydığını gösterdiğini belirtiyor. Mohankumar, 'Tarayıcının kendisini kullanarak mağdurları harekete geçmeye zorluyor. Gizli kod, gecikmeli aktivasyon ve agresif ekran davranışı birleşince, ciddi bir sistem sorunu yanılsaması yaratırken çok az teknik iz bırakıyor' diyor.

Önemli Gelişmeler

Kurumsal güvenlik ekiplerine, şüpheli komut dosyası davranışlarını tespit etmek ve engellemek için anti-phishing, tarayıcı ve uç nokta korumaları uygulamaları öneriliyor. Ayrıca kullanıcıların bu tür tehditler konusunda eğitilmesi büyük önem taşıyor. CypherLoc, siber suçluların sosyal mühendislik ve teknik gizleme yöntemlerini birleştirerek nasıl daha etkili saldırılar geliştirdiğini gösteriyor. Kullanıcıların, beklenmedik e-postalardaki bağlantılara tıklamamaları ve tarayıcı kilitlenmelerinde panik yapmamaları hayati önemde.

Kaynak: infosecurity-magazine.com

Paylaş: