Sahte VPN ve 7-Zip Uygulamaları Kurbanları Proxy Düğümüne Dönüştürüyor Yazılım

Sahte VPN ve 7-Zip Uygulamaları Kurbanları Proxy Düğümüne Dönüştürüyor

Infoblox araştırmacıları, sahte 7-Zip ve WireVPN uygulamalarıyla kurbanları farkında olmadan proxy düğümüne dönüştüren Lurking Lizard adlı bir tehdit

Siber güvenlik dünyasında endişe verici bir gelişme yaşanıyor. Infoblox tehdit araştırma ekibi, kullanıcıları farkında olmadan suç ağının bir parçası haline getiren karmaşık bir operasyonu gün yüzüne çıkardı. 'Lurking Lizard' olarak adlandırılan tehdit aktörü, sahte 7-Zip arşivleme aracı ve WireVPN gibi popüler uygulamaların taklitlerini kullanarak milyonlarca cihazı ele geçiriyor. Bu cihazlar daha sonra siber suçluların trafiğini yönlendirdiği 'residential proxy' düğümlerine dönüştürülüyor. Peki bu nasıl işliyor ve siz nasıl korunabilirsiniz?

Residential proxy kavramı aslında basit: Cihazınıza yüklenen küçük bir yazılım, başkalarının internet trafiğini sizin bağlantınız üzerinden yönlendirerek, trafiğin sizin IP adresinizden geliyormuş gibi görünmesini sağlar. Yasal şirketler bu hizmeti satarken, Lurking Lizard bunu kurbanların rızası olmadan yapıyor. Infoblox'un raporuna göre, saldırganlar 2026 başlarında 7zip[.]com adresinde barındırılan sahte 7-Zip sürümüyle başladıkları kampanyayı yıllardır sürdürüyor. Sahte uygulamalar, kullanıcılara yeterli işlevsellik sağlayarak şüphe uyandırmıyor ve kaldırılmıyor.

Infoblox, DNS ve altyapı analiziyle bu aktöre ait 230'dan fazla alan adı tespit etti. Portföy, 7-Zip, popüler VPN'ler ve HeroSMS gibi hizmetlerin birebir kopyalarını içeriyor. Ayrıca IPIDEA, SmartProxy, IP Royal ve 911Proxy gibi gerçek proxy hizmetlerini taklit eden alan adları da bulunuyor. Lurking Lizard, ayrıca proxyreviews[.]org gibi bağımsız görünen inceleme siteleri kurarak kendi mağazalarına trafik çekiyor. Gerçek SmartProxy şirketi Decodo, smartproxy[.]org alan adının kendilerine ait olmadığını ve bir alan adı gaspçısı tarafından kullanıldığını kamuoyuna duyurdu.

Teknik Analiz

Araştırmanın en kritik bulgusu, kötü amaçlı yazılım örneklerinde sabit kodlanmış bir IPLogger URL'siydi: hxxps://iplogger[.]com/mnWD. Bu URL, sahte 7-Zip yükleyicisinden WireVPN örneklerine kadar yıllara yayılan birden fazla yüklemde kullanılmış. Saldırganlar, kendi takip altyapılarını kurmak yerine meşru bir üçüncü taraf hizmetini telemetri işaretçisi olarak kullanarak akıllıca bir yöntem izlemiş. WHOIS kayıt verileri, Çin'in Wuhan şehrini işaret ediyor ve 'Cheng Li' gibi isimler sahte alan adlarıyla ilişkilendiriliyor.

WireVPN özellikle dikkat çekici. Kendi web sitesi, Windows ve macOS uygulamaları ve Apple App Store ile Google Play'de listelenmiş durumda. Android uygulaması bir milyondan fazla indirilmiş ve 34.000'den fazla yoruma sahip. Windows sürümleri, Birleşik Krallık'ta kayıtlı WEILAI NETWORK TECHNOLOGY CO., LIMITED adlı bir şirkete ait geçerli bir kod imza sertifikasıyla imzalanmış. Kod analizi, eski 7-Zip kampanyasıyla aynı yapının kullanıldığını gösteriyor: 7-Zip kötü amaçlı yazılımı hero.exe ve uphero.exe dosyalarını kullanırken, WireVPN aynı klasör yapısında wire.exe ve upwire.exe kullanıyor.

Detaylar ve Etkileri

WireVPN'in ağ davranışı, bir VPN'den beklenmeyen şekilde çalışıyor. Uygulama başlatıldıktan kısa süre sonra, dünya çapında dağıtılmış çok sayıda IP adresine ping istekleri gönderiyor ve tek bir sabit uç noktaya bağlanmak yerine birden fazla eşzamanlı bağlantı kuruyor. Bu trafik deseni, bir VPN istemcisinden çok üçüncü taraf trafiği için bir çıkış düğümüne benziyor. Yani, WireVPN'i yükleyen herkesin IP adresi üzerinden başkalarının trafiği geçiyor. Bu durum, kullanıcıların farkında olmadan siber suç faaliyetlerine aracılık etmesine yol açıyor.

Peki bu operasyon nasıl para kazanıyor? Synthient'ten Ben Brundage, tedarik zincirini şöyle açıklıyor: Ticari proxy hizmetleri, havuzlarını büyütmek için yeniden satıcılardan bant genişliği satın alır. Lurking Lizard gibi küçük aktörler ise kendi ele geçirilmiş cihaz havuzlarını üst düzey sağlayıcılarla birleştiriyor. Kullanıcılar için korunma yolları ise şunlar: Yazılımları yalnızca resmi kaynaklardan indirin (7-Zip için 7-zip.org, VPN için güvenilir sağlayıcılar). Uygulama izinlerini kontrol edin ve şüpheli ağ etkinliklerine karşı dikkatli olun. Güvenlik duvarı ve antivirüs yazılımlarını güncel tutun. Ayrıca, bir VPN kullanıyorsanız, yalnızca bilinen ve güvenilir sağlayıcıları tercih edin.

Kaynak: securityaffairs.com

Paylaş: