Sahte 7-Zip Kurulumları Bilgisayarları Proxy Ağına Dönüştürüyor Yazılım

Sahte 7-Zip Kurulumları Bilgisayarları Proxy Ağına Dönüştürüyor

Siber güvenlik araştırmacıları, sahte 7-Zip yükleyicileriyle cihazları farkında olmadan proxy ağına dönüştüren yeni bir tehdit aktörü olan Lurking Liz

Siber güvenlik dünyası, cihazları habersizce birer proxy düğümüne dönüştüren yeni bir tehdit aktörüyle karşı karşıya. DNS güvenlik firması Infoblox tarafından tespit edilen Lurking Lizard adlı bu aktör, 230'dan fazla sahte alan adı kullanarak kapsamlı bir yasadışı residential proxy işletmesi yürütüyor. Faaliyetlerin en az Ağustos 2022'ye kadar uzandığı belirtilirken, özellikle bu yılın başlarında gözlemlenen bir kampanyada, kullanıcılar '7zip[.]com' adresinde barındırılan truva atı bulaşmış bir 7-Zip yükleyicisiyle kandırıldı.

Lurking Lizard'ın yöntemleri oldukça sofistike. Sadece 7-Zip'i taklit etmekle kalmayıp, IPIDEA, SmartProxy (şimdi Decodo), IP Royal ve 911Proxy gibi büyük proxy sağlayıcılarının kimliğine bürünüyor. Hatta kendi sahte mağazalarına trafik çekmek için 'bağımsız' inceleme siteleri bile oluşturuyorlar. Google'ın Ocak ayında IPIDEA'nın altyapısını çökertmesi, bu tür ağların ne kadar büyük bir tehdit oluşturduğunu gösteriyor.

Proxyway tarafından yapılan bir analiz, SmartProxy ile bağlantılı 773.087 benzersiz IP adresinin, 16 milyondan fazla IP içeren bir IPIDEA veri setinde de bulunduğunu ortaya koydu. Bu, SmartProxy'nin ya doğrudan IPIDEA'nın altyapısını yeniden sattığını ya da önemli bir IP kaynağı olarak kullandığını gösteriyor. WHOIS sorguları ve altyapı parmak izi analizi, Lurking Lizard'ın Çin merkezli olduğunu ve popüler VPN'ler ile HeroSMS gibi hizmetleri proxy kötü amaçlı yazılımını dağıtmak için kullandığını işaret ediyor.

Sistem Güvenliği

Lurking Lizard'ın en dikkat çekici taktiklerinden biri, 'drop-catching' olarak bilinen bir teknikle süresi dolan alan adlarını satın alarak onların birikmiş geçmişini ve meşruiyetini devralması. Örneğin, '7-zip[.]org' yerine '7zip[.]com' gibi yanlış yazılmış alan adlarını kullanarak kullanıcıları kandırıyorlar. 7-Zip kampanyasına ait örneklerde bulunan IPLogger URL'si ('iplogger[.]com/mnWD') üzerinden yapılan analiz, aynı altyapının sahte 7-Zip, WhatsApp, TikTok ve YouTube indiricileri ile WireVPN yükleyicileri sunmak için kullanıldığını gösterdi.

WireVPN markasının kullanımı, kampanyanın en son evrimini temsil ediyor. Android, macOS ve Windows işletim sistemlerini hedef alan çok yönlü bir yaklaşım benimseniyor. Birleşik Krallık merkezli WEILAI NETWORK TECHNOLOGY CO., LIMITED tarafından geliştirilen 'wirevpn - Fast Unlimited Proxy' adlı bir Android uygulaması 1 milyondan fazla indirme sayısına ulaşmış durumda, ancak bu indirmelerin organik olup olmadığı bilinmiyor. Infoblox, orijinal 7-Zip kampanyasında kullanıcıların eğitim içerikleri, arama motoru keşifleri ve benzer alan adları aracılığıyla kötü amaçlı yükleyicilere yönlendirildiğini belirtiyor. Mobil uygulamalarda da aynı proxy işlevselliğinin (cihazlardan üçüncü taraf trafiğini yönlendiren çıkış düğümü) bulunup bulunmadığı henüz net değil.

Teknik Analiz

Tüm bu faaliyetler, yasadışı bir proxy işletmesinin resmini çiziyor. Bu işletme, kurban edinme, proxy altyapısı, pazarlama ve para kazanma aşamalarını kapsayan koordineli bir ekosistemi besliyor. İki aşamalı bir süreç işliyor: İlk aşamada, truva atı bulaşmış yükleyiciler, mobil uygulamalar ve diğer yemlerle kurban cihazları aktör kontrolündeki bir proxy botnet'ine dahil ediliyor. İkinci aşamada ise bu havuz, benzer proxy hizmet markaları aracılığıyla paraya çevrilirken, sahte inceleme siteleri aktörün mağazalarına trafik çekmeye yardımcı oluyor.

Infoblox araştırmacıları, bu suç faaliyetleri ile afiliye reklamcılığındaki kötü amaçlı reklamlar arasında paralellikler olduğunu vurguluyor. 'Televizyonunuz internete saldıran dev bir botnet'in parçası olabilir' gibi basit bir hikaye anlatılabilir, ancak gerçek çok daha karmaşık ve çözümler hala net değil. Google'ın geçtiğimiz günlerde NetNut (aka Popa) residential proxy ağını büyük ölçüde zayıflattığını duyurması, bu tehdidin boyutunu gözler önüne seriyor. NetNut, akıllı TV'ler ve akış cihazları gibi en az 2 milyon cihazı, önceden yüklenmiş veya gizli proxy kodu içeren uygulamalar aracılığıyla yetkisiz ağ trafiği için bir kanala dönüştürmüştü. Google, bu durumun cihaz sahipleri için ciddi riskler oluşturduğunu, ev IP adreslerinin saldırganlar tarafından hackleme ve diğer yetkisiz faaliyetler için bir fırlatma rampası olarak kullanılabileceğini belirtiyor.

Kaynak: thehackernews.com

Paylaş: