Sosyal medya platformları TikTok ve Instagram Reels, son dönemde siber saldırganların yeni oyun alanı haline geldi. ReversingLabs'ın yeni analizine göre, tehdit aktörleri kısa video formatını kullanarak Vidar isimli bilgi hırsızı (infostealer) virüsünü yayıyor. Saldırganlar, ücretsiz premium yazılım (özellikle Spotify Premium) vaat eden ders videoları hazırlıyor ve bu videoları platformların öneri algoritmalarını manipüle ederek geniş kitlelere ulaştırıyor. Vidar, 300 dolar ömür boyu lisansla hizmet olarak satılan ve kullanıcıların kimlik bilgilerini, finansal verilerini ve kimlik doğrulama tokenlerini çalan köklü bir zararlı yazılım. Geçtiğimiz Ekim ayında yapılan bir güncellemeyle daha gizli hale gelen Vidar, şimdi de sosyal medya üzerinden yeni kurbanlar arıyor.
İlk kampanya, 'windows.tips' gibi isimler ve mavi-beyaz taç simgesi kullanan neredeyse aynı hesaplar üzerinden yürütülüyor. Bu hesaplar, resmi Windows profilini taklit ederek güven oluşturuyor. Yapay zeka sesiyle hazırlanan videolarda, izleyicilere PowerShell'i açıp bir komut yapıştırmaları söyleniyor. Bu PowerShell komutu, msget[.]run gibi Microsoft'a benzeyen bir alan adından bir betik indirip çalıştırıyor ve bu betik de Vidar'ı sisteme bulaştırıyor. Videoların etkileşim oranları oldukça yüksek; bir eğitim videosu 100.000'den fazla izlenme ve 1.700'e yakın kaydetme aldı. Saldırganlar, platformların en çok önemsediği kaydetme ve paylaşma gibi etkileşimleri artırmak için özel olarak çaba gösteriyor.
İkinci kampanya ise daha amatör görünüyor. Sıradan hesaplar, ücretsiz Spotify Premium'u gösteren müzikli klipler paylaşıyor ve yorumlarda 'ok' gibi bir kelime yazılmasını isteyerek doğrudan mesaj yoluyla talimat gönderiyor. Bu talimatlar, d4ug[.]site gibi ücretsiz oyunlar ve yapay zeka araçları vaat eden sitelere yönlendiriyor. Ancak bu sitelerde indirme işlemi, kullanıcıları anket üstüne anket doldurmaya zorluyor. ReversingLabs araştırmacıları bu anketleri geçemediği için nihai yük (payload) doğrulanamadı. Bu yöntem, sosyal mühendislik taktikleriyle birleştiğinde oldukça etkili oluyor ve kullanıcıların dikkatini dağıtarak zararlı yazılımı bulaştırmayı hedefliyor.
Bu tür saldırılara karşı korunmak için ReversingLabs, kuruluşlara şu önerilerde bulunuyor: Öncelikle, yazılım yükleme yetkisine sahip kişilerin kim olduğu ve ne yükledikleri denetlenmeli. İkinci olarak, kimlik avı (phishing) eğitimleri sadece e-posta ve SMS ile sınırlı kalmamalı, sosyal medya akışlarını da kapsamalı. Çalışanlar, kişisel hesaplarında bile şüpheli gönderileri bildirmeye teşvik edilmeli. ReversingLabs, 'Ne kadar çok bildirim olursa, hesapların kapatılma olasılığı o kadar artar ve bu da saldırganların ivmesini yavaşlatır' diyerek kullanıcıların dikkatli olmasının herkesi daha güvende tutacağını vurguluyor.
Sonuç ve Değerlendirme
Sosyal medyada karşılaştığınız 'ücretsiz premium' veya 'kırık yazılım' vaat eden içeriklere karşı şüpheci yaklaşın. Bilinmeyen kaynaklardan gelen komutları çalıştırmayın ve şifrelerinizi düzenli olarak değiştirin. Ayrıca, iki faktörlü kimlik doğrulama (2FA) kullanarak hesaplarınızı ekstra koruma altına alabilirsiniz. Unutmayın, gerçek olamayacak kadar iyi teklifler genellikle bir tuzaktır.
Vidar gibi infostealer'lar, sadece bireysel kullanıcıları değil, aynı zamanda kurumsal ağları da hedef alabilir. Bu nedenle, iş yerlerinde de benzer önlemlerin alınması hayati önem taşır. Güncel antivirüs yazılımları kullanmak, yazılımları düzenli güncellemek ve bilinçli bir internet kullanıcısı olmak, bu tür tehditlere karşı en etkili savunma yöntemleridir.
Kaynak: infosecurity-magazine.com