Siber güvenlik dünyasında yeni bir tehdit dalgası yükseliyor. Arctic Wolf araştırmacıları, GitHub üzerinde premium yazılım ve güvenlik araçlarını taklit eden 292 sahte depo keşfetti. Bu depolar, kullanıcıları kötü amaçlı yazılım bulaştırmak için tasarlanmış indirme sayfalarına yönlendiriyor. Kampanya, güvenlik ürünleri, kripto para hizmetleri, finansal araçlar, geliştirici yardımcı programları, güvenli e-posta sağlayıcıları, macOS araçları ve oyun yazılımları gibi geniş bir yelpazede popüler yazılımları hedef alıyor.
Sahte depoların her biri, güvenilirlik izlenimi vermek için özenle hazırlanmış bir README dosyası içeriyor. Bu dosyalarda, 'Güvenli İçerik İndir' gibi düğmeler ve sahte güven rozetleri bulunuyor. Arctic Wolf'un analizine göre, tüm markalar için aynı HTML/JS şablonu kullanılıyor. Sayfanın istemci taraflı betiği, URL yolunu iki parçaya ayırıyor: ilki kullanıcı kodunu (yönlendiren depoyu takip eden dönen bir belirteç), ikincisi ise yönlendiren alan adını (örneğin Arctic-Wolf.github.io) içeriyor. Sayfa görüntülendiğinde, marka adı tirelerin boşluklarla değiştirilmesi ve uygun başlık durumunun uygulanmasıyla elde ediliyor.
Kötü amaçlı sayfa, yaklaşık her dakika değişen büyük bir ZIP arşivi sunuyor. Arşiv içinde, trojanize edilmiş bir libcurl.dll ve meşru, imzalı bir WinGUP güncelleme aracı bulunuyor. Kullanıcı yürütülebilir dosyayı çalıştırdığında, gup.exe libcurl.dll'yi yan yüklüyor ve bu DLL, gömülü bir bilgi hırsızını tamamen bellek içinde şifresini çözüp yansıtarak çalıştırıyor. Bu teknik, geleneksel disk tabanlı tespit yöntemlerini atlatıyor.
Detaylar ve Etkileri
Bilgi hırsızı, BoryptGrab ailesinin bir varyantı olarak tanımlandı. 19 web tarayıcısından parolalar, çerezler, ödeme bilgileri ve diğer verileri çalıyor. Ayrıca 32 farklı kripto para cüzdan markasının verilerini, Telegram oturumlarını, Discord belirteçlerini, Steam oturum belirteçlerini ve Meta'nın Max mesajlaşma uygulaması kimlik bilgilerini hedef alıyor. Windows Kimlik Bilgisi Yöneticisi'ndeki bilgileri, Masaüstü ve Belgeler klasörlerinde parola, kurtarma ifadesi, cüzdan gibi dosyaları tarıyor. Ek olarak, ekran görüntüleri, sistem detayları ve yüklü yazılımların listesini topluyor.
Nasıl Önlem Alınmalı?
Arctic Wolf, bu BoryptGrab varyantının daha önce belgelenmemiş bir yeteneğini ortaya çıkardı: Chrome'un Uygulama Sınırlı Şifrelemesini (App-Bound Encryption), tarayıcı sürecine doğrudan kod enjeksiyonu yaparak atlayabiliyor. Çalınan veriler, sıkıştırıldıktan sonra Rusya merkezli bir komuta ve kontrol (C2) sunucusuna gönderiliyor. Kötü amaçlı yazılım, kalıcılık sağlamıyor; tek bir çalıştırmada mümkün olduğunca fazla veri toplamak üzere tasarlanmış. Ayrıca herhangi bir anti-analiz katmanı bulunmuyor ve veri sızdırma aşamasında kullanılan geçici dizin temizlenmiyor, bu da adli bilişim izlerini geride bırakıyor.
Sistem Güvenliği
Raporun yayımlandığı tarihte GitHub, sahte depoların büyük bir kısmını kaldırmış olsa da, araştırmacılar birkaç düzine GitHub Pages yönlendiricisinin hâlâ aktif olduğunu bildiriyor. Kampanyanın arkasındaki tehdit aktörü kesin olarak tanımlanamasa da, Arctic Wolf, operatörün muhtemelen Rusça konuşan ve finansal motivasyonlu olduğunu değerlendiriyor. Kullanıcılara, premium yazılımların 'ücretsiz indirme' vaatlerine karşı dikkatli olmaları ve resmi olmayan GitHub sayfalarıyla etkileşime girerken temkinli davranmaları öneriliyor. Araştırmacılar, bu etkinliği tespit etmek için bir Yara kuralı ve BoryptGrab ile ilişkili tehlike göstergelerini (IoC) paylaştı.
Kaynak: bleepingcomputer.com