Siber güvenlik dünyasında yeni bir tehdit aktörü olarak tanımlanan Lurking Lizard, sahte yazılım kurulumları aracılığıyla kullanıcıların cihazlarını ele geçirerek yasa dışı bir residential proxy ağı oluşturuyor. DNS tehdit istihbaratı firması Infoblox'un raporuna göre, bu faaliyetler en az Ağustos 2022'den beri devam ediyor ve 230'dan fazla sahte alan adı kullanılarak yürütülüyor. Saldırganlar, kullanıcıları "7zip[.]com" adlı bir alan adında barındırılan truva atı enjekte edilmiş 7-Zip kurulumuyla hedef alıyor ve cihazları farkında olmadan proxy düğümlerine dönüştürüyor.
Lurking Lizard, yalnızca 7-Zip'i taklit etmekle kalmıyor; aynı zamanda IPIDEA, SmartProxy (şimdi Decodo), IP Royal ve 911Proxy gibi büyük proxy sağlayıcılarının kimliğine bürünerek sahte yorum siteleri oluşturup kendi mağazalarına trafik çekiyor. İlginç bir şekilde, IPIDEA'nın altyapısı bu yılın Ocak ayında Google tarafından çökertilmişti. Proxyway'in bulgularına göre, SmartProxy'ye ait 773.087 benzersiz IP adresi, IPIDEA'nın 16.192.293 benzersiz IP içeren veri setinde de yer alıyor, bu da SmartProxy'nin doğrudan IPIDEA altyapısını yeniden sattığını veya önemli bir IP kaynağı olarak kullandığını gösteriyor.
WHOIS analizleri ve altyapı parmak izi incelemeleri, Lurking Lizard'ın Çin merkezli bir aktör olduğunu ortaya koyuyor. Yasa dışı plan, popüler VPN'ler ve HeroSMS gibi hizmetleri de oltalama amaçlı kullanarak proxy kötü amaçlı yazılımını yayıyor. Saldırganların dikkat çeken bir taktiği, süresi dolan alan adlarını satın alarak (drop-catching olarak bilinen teknik) bu alanların birikmiş geçmişini ve meşruiyetini devralmak. Örneğin, "7-zip[.]org" yerine "7zip[.]com" gibi yanlış referans verilen alan adlarını kullanarak kullanıcıları kandırıyorlar.
Nasıl Önlem Alınmalı?
7-Zip kampanyasına bağlı örneklerde bulunan IPLogger URL'sinin ("iplogger[.]com/mnWD") analizi, aynı altyapının 7-Zip, WhatsApp, sahte TikTok ve YouTube indiricileri ile WireVPN için sahte kurulumlar sunmakta kullanıldığını ortaya çıkardı. WireVPN markasının kullanımı, kampanyanın en son evrimini temsil ediyor ve Android, macOS ve Windows dahil olmak üzere birden çok işletim sistemini hedef alıyor. Birleşik Krallık merkezli WEILAI NETWORK TECHNOLOGY CO., LIMITED tarafından geliştirilen "wirevpn - Fast Unlimited Proxy" adlı Android uygulaması, 1 milyondan fazla indirme sayısına ulaşmış durumda, ancak bu indirmelerin organik olup olmadığı bilinmiyor.
Detaylar ve Etkileri
Mobil uygulamaların, masaüstü uygulamalarda olduğu gibi proxy işlevselliğine (yani üçüncü taraf trafiğini kullanıcıların cihazları üzerinden yönlendirme) sahip olup olmadığı henüz net değil. Ancak bu durum, yasa dışı bir proxy işletmesinin resmini çiziyor: Kurban edinme, proxy altyapısı, pazarlama ve para kazanma aşamalarından oluşan koordineli bir ekosistem. Süreç iki aşamalı: İlk aşamada, truva atı enjekte edilmiş kurulumlar ve mobil uygulamalar, kurban cihazlarını aktör kontrolündeki bir proxy botnet'ine dahil ediyor. İkinci aşamada ise bu havuz, sahte proxy markaları aracılığıyla paraya çevriliyor ve sahte yorum siteleri mağazalara trafik çekiyor.
Infoblox, bu suç faaliyetinin, reklam ortaklığı programlarını etkileyen kötü amaçlı reklamcılık (malvertising) ile benzerlikler taşıdığına dikkat çekiyor. Araştırmacılar, "TV'niz internete saldıran dev bir botnet'in parçası olabilir" gibi basit bir hikaye yerine, daha karmaşık bir gerçeklik olduğunu ve çözümlerin hâlâ bulunamadığını belirtiyor. Lurking Lizard, tek bir kötü amaçlı yazılım kampanyası yürütmek yerine, yıllardır residential proxy yaşam döngüsünün birden çok aşamasını yönetiyor: kurban cihazları edinmekten, ortaya çıkan ağa erişimi pazarlamaya ve satmaya kadar.
Bu gelişme, Google'ın NetNut (diğer adıyla Popa) residential proxy ağını önemli ölçüde zayıflattığını duyurmasından günler sonra geldi. NetNut, en az 2 milyon cihazı (akıllı TV'ler ve akış kutuları gibi) kötü amaçlı SDK'lar aracılığıyla yetkisiz ağ trafiği için bir geçit haline getirmişti. Google, "Bu, şüphelenmeyen cihaz sahipleri için ciddi riskler yaratıyor; ev IP adresleri saldırganlar tarafından korsanlık ve diğer yetkisiz faaliyetler için bir fırlatma rampası olarak kullanılabiliyor" uyarısında bulundu. Kullanıcıların, meşru trafiklerinin şüpheli olarak işaretlenmesi veya servis sağlayıcıları tarafından engellenmesi gibi sorunlarla karşılaşabileceği belirtiliyor.
Teknik Analiz
Bu tehdide karşı korunmak için kullanıcıların yalnızca resmi kaynaklardan (örneğin 7-zip.org) yazılım indirmeleri, alan adlarını dikkatlice kontrol etmeleri ve bilinmeyen uygulamalara izin vermemeleri önem taşıyor. Ayrıca, güncel bir antivirüs programı kullanmak ve ağ trafiğini izlemek, cihazların bir botnet'in parçası haline gelmesini önlemeye yardımcı olabilir. Siber güvenlik uzmanları, özellikle ücretsiz VPN ve proxy hizmetlerine karşı dikkatli olunması gerektiğini vurguluyor.
Kaynak: thehackernews.com