GitHub'da 292 Sahte Marka: Bilgi Hırsızı 'BoryptGrab' ile Hedef Alınıyorsunuz Yazılım

GitHub'da 292 Sahte Marka: Bilgi Hırsızı 'BoryptGrab' ile Hedef Alınıyorsunuz

Arctic Wolf, GitHub'da 292 markayı taklit eden bir kampanyayı ortaya çıkardı. BoryptGrab bilgi hırsızı, SEO zehirlenmesi ve sahte indirme sayfalarıyla

Arctic Wolf güvenlik araştırmacıları, GitHub üzerinde yürütülen ve 292 farklı markayı taklit ederek finansal kazanç sağlamayı amaçlayan bir bilgi hırsızı kampanyasını gün ışığına çıkardı. Saldırganlar, popüler yazılımların meşru indirme sayfalarını taklit ederek kullanıcıları 'BoryptGrab' adlı bir infostealer’a yönlendiriyor. Hedef alınan markalar arasında güvenlik araçları, fintech ve kişisel finans uygulamaları, kripto para cüzdanları ve borsaları, geliştirici ve üretkenlik araçları, güvenli e-posta sağlayıcıları, macOS yardımcı programları ve oyun yazılımları yer alıyor. Kampanyanın başlama tarihi 26 Haziran 2026 olarak belirtilirken, halen aktif olduğu vurgulanıyor.

Saldırı zinciri, SEO optimizasyonu ile kullanıcıları arama motoru sonuçlarında sahte GitHub depolarına yönlendirmekle başlıyor. Her bir sahte depoda, README dosyası içine gizlenmiş bir indirme bağlantısı bulunuyor. Bu bağlantı, kullanıcıları önce *.github.io sayfasına, ardından saldırgan kontrolündeki bir dağıtım alan adına ve son olarak sahte bir 'güvenli indirme' sayfasına yönlendiriyor. Sayfa, yaklaşık her 60 saniyede bir dosya adı ve yükü yenilenen büyük bir ZIP arşivi sunuyor. Arşiv, meşru ve imzalı bir WinGUP güncelleyicisi (gup.exe, her seferinde taklit edilen ürünün adıyla yeniden adlandırılıyor) ve truva atına dönüştürülmüş bir libcurl.dll içeriyor. Kullanıcı çalıştırdığında, gup.exe libcurl.dll’yi yan yüklüyor ve bu DLL, bellekte gömülü bir Windows infostealer’ı deşifre edip yansımalı olarak çalıştırıyor.

BoryptGrab olarak adlandırılan bu bilgi hırsızı, daha önce belgelenen bir varyantla aynı kod tabanını paylaşıyor ve 11 modüle sahip. Topladığı veriler arasında; enfekte sistem ve yüklü yazılımlar hakkında bilgiler, Chrome, Edge, Brave, Yandex, Vivaldi, Chromium, Tor, Epic, Opera, Opera GX ve Firefox gibi tarayıcılardan kimlik bilgileri ve çerezler, kripto para cüzdan uzantıları dahil yüklü tarayıcı uzantılarının yerel depolama ve yapılandırma verileri, Steam oturum token’ları, Meta Max (messenger) kimlik bilgileri, Discord token’ları, Telegram verileri, Masaüstü ve Belgeler klasörlerinde 'password', 'passwords', 'seeds', 'keys', 'wallet', 'backup', 'recovery' gibi kelimeler içeren dosyalar ve Windows Kimlik Yöneticisi’nde saklanan kimlik bilgileri bulunuyor. Toplanan tüm veriler, Rusya’da barındırılan bir C2 sunucusuna (sabit IP: 193.143.1.131) sızdırılıyor.

Arctic Wolf analistleri, bu infostealer’ın 'çal-kaç' (smash-and-grab) mantığıyla çalıştığını belirtiyor. Statik analizde herhangi bir Run anahtarı, zamanlanmış görev kaydı, Windows Defender dışlama yazısı, sanal makine veya hata ayıklayıcı tespit rutini ya da işlem adı engelleme listesi bulunamadı. Yani implant yalnızca bir kez çalışıyor, tüm verileri toplayıp sızdırıyor ve sistemde kalıcılık sağlamıyor. Ancak, toplanan verileri ve işlem günlüklerini (browser_decryption.log, sends.log) geçici bir çıktı klasöründe biriktiriyor ve bu klasörü silmiyor. Bu da adli bilişim açısından kurtarılabilir bir iz bırakıyor. Sistem yöneticileri, bu klasörün varlığını kontrol ederek bir sistemin tehlikeye girip girmediğini tespit edebilir. Eğer klasör mevcutsa, sistemin ele geçirildiği anlamına geliyor.

Araştırmacılar, bu kampanyada taklit edilen markaların herhangi bir suçu olmadığını, saldırganın yazılımlardaki bir güvenlik açığını değil, markaların itibarını ve kullanıcıların arama motoru sonuçları ile GitHub’a olan güvenini istismar ettiğini vurguluyor. Saldırganın otomasyon kullanarak tek kullanımlık hesaplar ve organizasyonlar oluşturduğu, sahte indirme sayfası, README dosyaları ve github.io yönlendirme hesapları oluşturmak için büyük olasılıkla yapay zeka modelleri kullanmadığı düşünülüyor. Dil ve barındırma yapıları, Rusça konuşan bir operatöre işaret ediyor ancak bilinen bir tehdit aktörüyle bağlantı kurulamıyor. GitHub, Arctic Wolf’un bildirdiği sahte sayfaları kaldırmış olsa da, araştırmacılar reaktif yaklaşımın yetersiz olduğunu belirtiyor: Saldırgan yeni hesaplar açarak kampanyaya devam edebilir.

Arctic Wolf’un kullanıcılara önerileri arasında, yazılımları yalnızca satıcı tarafından onaylanmış kanallardan indirmek, .github profil depolarını yeni oluşturulmuşsa, az commit geçmişine sahipse ve pazarlama tarzı README içeriyorsa varsayılan olarak şüpheli kabul etmek yer alıyor. Sahte güven rozetleri ve 'güvenli indirme' sayfalarının kolayca oluşturulabileceği ve hiçbir şeyi kanıtlamadığı uyarısını yapan araştırmacılar, en önemli kuralın şu olduğunu söylüyor: Meşru yükleyiciler, ZIP arşivinden bir çalıştırılabilir dosyayı çalıştırmayı gerektirmez. Ayrıca, bu kampanyayla ilişkili zararlı etkinlikleri tespit etmek için kullanılabilecek göstergeler (IOC’ler) ve bir Yara kuralı da paylaşıldı.

Bu tür saldırılara karşı korunmak için kullanıcıların ve kurumların, indirme işlemlerinde daha dikkatli olması, tarayıcı depolanan şifrelerini düzenli olarak döndürmesi ve özellikle kripto para cüzdanları gibi hassas verileri korumak için ek güvenlik katmanları uygulaması gerekiyor. Arctic Wolf, enfekte bir sistemde çalıştırılan örnekler için tüm kimlik bilgilerinin, tarayıcı oturumlarının ve kripto para cüzdan anahtarlarının döndürülmesini, ayrıca tarayıcıda depolanan şifreler, çerezler, cüzdanlar, Discord token’ları, Steam token’ları, Telegram oturumları, Meta Max kimlik bilgileri ve Windows Kimlik Yöneticisi girişlerinin tamamen ele geçirilmiş sayılması gerektiğini vurguluyor.

Uzmanların Görüşleri

Siber güvenlik topluluğu, GitHub gibi platformların proaktif bir şekilde sahte depoları tespit edip kaldırması gerektiğini belirtirken, kullanıcıların da indirme alışkanlıklarını gözden geçirmesi gerekiyor. Arctic Wolf’un uyarıları, özellikle kurumsal ağlarda çalışanların bilinçlendirilmesi ve güvenlik politikalarının güncellenmesi açısından önem taşıyor. Kampanyanın hala devam ettiği düşünüldüğünde, bu tür tehditlere karşı hazırlıklı olmak hayati önem taşıyor.

Kaynak: helpnetsecurity.com

Paylaş: