Siber güvenlik araştırmacıları, tarayıcıları kilitleyerek kullanıcıları sahte teknik destek ekiplerine yönlendiren yeni bir korkutma yazılımı (scareware) konusunda uyarıda bulundu. Barracuda araştırmacıları, 2026 yılının başından bu yana CypherLoc adı verilen bu korkutma yazılımını kullanan yaklaşık 2,8 milyon saldırı tespit ettiklerini belirtti. Saldırıların temel amacı, kullanıcıları paniğe sürükleyerek sahte Microsoft destek personeline ulaşmalarını sağlamak ve bu yolla hassas bilgilerini ele geçirmek.
CypherLoc saldırı zinciri genellikle bir kimlik avı (phishing) e-postasıyla başlıyor. E-postadaki bağlantıya tıklayan veya eke tıklayan kurban, görünüşte zararsız bir web sayfasına yönlendiriliyor. Ancak bu sayfa, saldırının tam olarak tetiklenmesi için bir dizi koşulun sağlanmasını bekliyor. Barracuda'nın açıklamasına göre, sayfanın saldırı yükü yalnızca belirli URL parçası (fragment) hash'i mevcut olduğunda ve sayfa bir dizi kriptografik bütünlük kontrolünden geçtiğinde devreye giriyor. Eğer gizli parça eksikse veya sayfa bir tarayıcı tarayıcısı, sanal alan ya da test ortamında açılıyorsa, kötü amaçlı yük çalışmıyor ve sayfa boş bir ekrana yönlendiriliyor. Bu sayede saldırı, güvenlik araçlarından gizlenmiş oluyor.
Saldırı tetiklendiğinde, kullanıcıyı rahatsız etmek için bir dizi eylem gerçekleşiyor. Tarayıcı tam ekran moduna geçiyor, sağ tıklama menülerini devre dışı bırakıyor, fare imlecini gizliyor ve ekranı katmanlarla dolduruyor. Kullanıcının kontrolü yeniden ele geçirme girişimleri, tarayıcının yeniden kilitlenmesine neden oluyor. Sahte bir güvenlik sayfası, kullanıcı her tıkladığında uyarı sesleri çalıyor. Bu ekstra aktivite, tarayıcının yavaşlamasına veya çökmesine yol açabiliyor. CypherLoc ayrıca kullanıcının IP adresini alarak ekranda gösteriyor ve çalışmayan bir giriş açılır penceresi göstererek paniği artırıyor.
Gelecekte Ne Bekleniyor?
Saldırı boyunca ekranda belirgin bir şekilde sahte bir teknik destek telefon numarası görüntüleniyor. Barracuda'ya göre, bu numara sorunu çözmenin tek yolu olarak sunuluyor. Kullanıcılar numarayı aradığında, kendilerini Microsoft destek personeli olarak tanıtan canlı dolandırıcılar devreye giriyor ve sohbet yoluyla dolandırıcılığı sürdürüyor. Araştırmacılar, saldırının nihai hedefinin tam olarak ne olduğunu belirleyememiş olsa da, kimlik bilgilerinin çalınmasının olası senaryolar arasında olduğunu belirtiyor.
Barracuda Tehdit Analiz Ekibi yöneticisi Saravanan Mohankumar, 'CypherLoc, modern korkutma yazılımlarının bariz kötü amaçlı yazılımlardan tarayıcı tabanlı, kullanıcı odaklı dolandırıcılıklara nasıl kaydığını gösteriyor. Bu tür saldırılar tespit edilmesi zor ve oldukça etkili. CypherLoc, kurbanları harekete geçmeye zorlamak için tarayıcının kendisini kullanıyor. Gizli kod, gecikmeli aktivasyon ve agresif ekran davranışlarını birleştirerek ciddi bir sistem sorunu olduğuna dair ikna edici bir yanılsama yaratırken, çok az teknik iz bırakıyor' dedi.
Sonuç ve Değerlendirme
Şirketlerin bu tür tehditlere karşı korunmak için atabileceği adımlar var. Barracuda, kurumsal güvenlik ekiplerinin anti-phishing, tarayıcı ve uç nokta korumalarını devreye alarak şüpheli betik davranışlarını tespit etmesini ve engellemesini öneriyor. Ayrıca, kullanıcıların bu tür tehditler konusunda eğitilmesi de kritik önem taşıyor. Kullanıcılar, beklenmedik bir şekilde tam ekran kilitlenme, uyarı sesleri veya sahte güvenlik mesajlarıyla karşılaştıklarında, hemen tarayıcıyı kapatmalı veya görev yöneticisini kullanarak işlemi sonlandırmalıdır. Ayrıca, görüntülenen telefon numaralarını aramak yerine, gerçek teknik destek kanallarını kullanmaları gerekiyor.
Kaynak: infosecurity-magazine.com