Siber saldırganlar, TikTok ve Instagram Reels gibi kısa video platformlarında, ücretsiz premium yazılım vaadiyle Vidar bilgi hırsızı (infostealer) zararlısını yayıyor. ReversingLabs'ın yeni analizine göre, iki farklı kampanya, platformların öneri algoritmalarını manipüle ederek geniş kitlelere ulaşıyor. Videolar, izleyicileri Spotify Premium gibi ücretsiz yazılım sunan sahte sitelere yönlendiriyor. Vidar, 300 dolarlık ömür boyu lisansla satılan ve kimlik bilgileri, finansal veriler ile kimlik doğrulama token'larını çalan bir zararlıdır. Geçtiğimiz Ekim ayında güncellenen sürümü, daha gizli hale gelmiştir. Videolar gerçek etkileşim alıyor; bir eğitim videosu 100.000'den fazla izlenme kazandı.
İlk kampanya, 'windows.tips' gibi isimlere ve mavi-beyaz taç simgesine sahip neredeyse aynı hesaplar üzerinden yürütüldü. Bu hesaplar, resmi Windows profilini taklit ediyor. Yapay zeka sesiyle hazırlanan bir video, izleyicilere PowerShell'i açıp bir komut yapıştırmalarını söylüyor. Bu PowerShell komutu, msget[.]run adlı benzer bir alan adından bir script indirip çalıştırıyor. Script, Vidar zararlısını indiriyor. Algoritmada yükselmek için hesaplar, platformların en çok önemsediği beğenilerden ziyade kaydetme ve paylaşma etkileşimlerini hedef aldı. Bir video, altı haneli izlenme sayısının yanı sıra yaklaşık 1700 kaydetme aldı.
İkinci kampanya daha az profesyonel görünüyordu. Sıradan hesaplar, ücretsiz Spotify Premium'u sergileyen müzikli klipler paylaşıyor ve yorumlarda merak uyandırıyordu. Bazen izleyicilerden 'ok' gibi bir kelimeyle yanıt vermeleri isteniyor, ardından talimatlar içeren bir direkt mesaj tetikleniyordu. Bu talimatlar, ücretsiz oyunlar ve yapay zeka araçları vaat eden ancak indirmeyi anketlerin arkasına saklayan d4ug[.]site gibi sitelere yönlendiriyordu. ReversingLabs bu anketleri geçemediği için nihai yük doğrulanamadı. Bu yaklaşım, sosyal mühendislik taktikleriyle polislenmesi zor; oluşturucular uyarı yorumlarını silebiliyor ve firmanın Instagram'a yaptığı şikayetler reddedildi.
Nasıl Önlem Alınmalı?
Bu tehdide karşı korunmak için ReversingLabs, kuruluşlara şu önlemleri öneriyor: Yazılım yükleme yetkisine sahip kişileri denetleyin ve ne yüklediklerini kontrol edin. Kimlik avı eğitimlerini yalnızca e-posta ve SMS değil, sosyal medya akışlarını da kapsayacak şekilde güncelleyin. Çalışanları, kişisel hesaplarında bile şüpheli gönderileri bildirmeye teşvik edin. 'Ne kadar çok bildirim olursa, hesapların kapatılma olasılığı o kadar artar ve bu saldırganların ivmesini yavaşlatır,' diyen firma, dikkatli olmanın herkesi daha güvende tutabileceğini vurguluyor.
Vidar zararlısı, uzun süredir aktif olan bir infostealer olup, özellikle kripto para cüzdanları, tarayıcı şifreleri ve oturum çerezlerini hedef alır. PowerShell komutlarıyla çalıştırılan zararlı, sistemde kalıcılık sağlamak ve güvenlik yazılımlarını atlatmak için çeşitli teknikler kullanır. Kullanıcıların, özellikle ücretsiz yazılım vaat eden sosyal medya içeriklerine karşı dikkatli olmaları ve bilinmeyen PowerShell komutlarını çalıştırmamaları önemlidir.
Detaylar ve Etkileri
Sonuç olarak, sosyal medya platformlarında yayılan bu tür saldırılar, kullanıcıların güvenlik bilincini artırmayı ve şüpheli içerikleri bildirmeyi gerektiriyor. ReversingLabs'ın raporu, bu kampanyaların ne kadar etkili olduğunu ve platformların algoritmalarının nasıl kötüye kullanıldığını gösteriyor. Kullanıcıların, ücretsiz yazılım vaatlerine karşı şüpheci yaklaşması ve yalnızca resmi kaynaklardan indirme yapması, bu tür tehditlere karşı en etkili savunmadır.
Kaynak: infosecurity-magazine.com