Siber Güvenlik

Sahte 7-Zip Yükleyicileri, Cihazları Konut Proxy Ağına Katıyor

Siber güvenlik dünyası, son dönemde ortaya çıkan ve sahte 7-Zip yükleyicileri aracılığıyla binlerce hatta milyonlarca cihazı ele geçiren yeni bir tehdit aktörünün faaliyetlerini yakından inceliyor. “Lurking Lizard” adı verilen bu grup, ele geçirdiği cihazları gizlice konut proxy düğümlerine dönüştürerek büyük ölçekli ve kötü niyetli bir proxy iş ağı kurmuş durumda. Bu karmaşık altyapı, 230’dan fazla taklit alan adı üzerinden uzun süredir faaliyet gösteriyor ve kullanıcıların dijital güvenliği için ciddi bir tehlike oluşturuyor.

Siber Tehdit Aktörü Lurking Lizard’ın Yükselişi

Infoblox adlı DNS tehdit istihbarat firmasının detaylarını açıkladığı üzere, Lurking Lizard grubunun faaliyetleri en az Ağustos 2022’ye kadar uzanıyor. Bu tehdit aktörü, başta Çin merkezli olduğu düşünülen bir operasyonla, son kullanıcılara yönelik çeşitli tuzaklar kurarak geniş bir kurban ağı oluşturdu. Yöntemleri arasında, süresi dolan alan adlarını yeniden ele geçirerek onların geçmişini ve meşruiyetini kullanma olarak bilinen “drop-catching” tekniği öne çıkıyor. Ayrıca, “7zip[.]com” gibi yanlış referans verilen ancak meşru gibi görünen alan adlarını kötü amaçları için istismar etmeleri de dikkat çekiyor.

Lurking Lizard, yalnızca sahte 7-Zip yükleyicileriyle sınırlı kalmıyor; aynı zamanda IPIDEA, SmartProxy (şimdiki adıyla Decodo), IP Royal ve 911Proxy gibi bilinen büyük proxy sağlayıcılarını da taklit ediyor. Hatta kendi dolandırıcı vitrinlerine trafik çekmek için sahte bağımsız inceleme siteleri bile kurmaktan çekinmiyorlar. Bu durum, siber suçluların ne kadar organize ve sofistike hale geldiğini gözler önüne seriyor. WHOIS analizleri ve altyapı parmak izleri, bu yasa dışı planın arkasındaki aktörlerin coğrafi olarak Çin merkezli olduğunu işaret ediyor. Operasyonun, HeroSMS gibi popüler VPN’ler ve hizmetleri yem olarak kullanarak proxy zararlı yazılımlarını dağıttığı da tespit edildi.

Gizli Proxy Ağlarının İşleyişi ve Kurban Tuzakları

Kötü niyetli yazılımın cihazlara nasıl sızdığına bakıldığında, 7-Zip kampanyası örneğinde kurbanların başlangıçta öğretici içerikler, arama motorları üzerinden yapılan keşifler ve taklitçi alan adları aracılığıyla kötü amaçlı yükleyicilere yönlendirildiği görülüyor. Bu yükleyiciler cihazlara kurulduğunda, kullanıcıların bilgisi dışında onları birer “konut proxy düğümü” haline getiriyor. Böylece, saldırganlar ele geçirdikleri bu cihazların IP adreslerini kullanarak kendi proxy hizmetlerini üçüncü taraflara satabiliyor, bu da yasa dışı faaliyetlerin izini sürmeyi zorlaştırıyor.

Infoblox’un analizlerine göre, aynı altyapının 7-Zip dışında WhatsApp, TikTok ve YouTube indirme aracı olduğu iddia edilen uygulamalar ve WireVPN için de sahte yükleyiciler sunmak amacıyla kullanıldığı belirlendi. Bu çok yönlü yaklaşım, Android, macOS ve Windows dahil olmak üzere farklı işletim sistemlerindeki kullanıcıları hedef alıyor. Tehdidin evrimi içinde WireVPN markasının kullanılması, kampanyanın geldiği son noktayı temsil ediyor. Kullanıcılar, bilgisayarlarının veya mobil cihazlarının farkında olmadan bir proxy ağına dahil edildiğini genellikle performans düşüşü veya beklenmedik ağ trafiği artışı gibi belirtilerle fark edebilirler.

Taklit ve İddialar: WireVPN ve Diğer Sağlayıcılar

Lurking Lizard’ın taklitçilik stratejisi, bilinen proxy sağlayıcılarının isimlerini ve itibarını kötüye kullanma üzerine kurulu. Bu durumun en somut örneklerinden biri, Google’ın bu yılın Ocak ayında IPIDEA’nın altyapısını dağıtmasıyla ortaya çıktı. Ardından Proxyway tarafından yapılan araştırmalar, SmartProxy’ye ait 773.087 benzersiz IP adresinin, IPIDEA’nın 16.192.293 benzersiz IP içeren kamuya açık bir veri setinde bulunduğunu gösterdi. Bu bulgu, SmartProxy’nin ya doğrudan IPIDEA’nın altyapısını yeniden sattığını ya da onu önemli bir IP kaynağı olarak kullandığını düşündürüyor.

Kampanyanın son evrelerinden biri olan WireVPN markasının kullanımı da benzer bir tartışmayı beraberinde getirdi. Birleşik Krallık merkezli WIRE LTD altında yayınlanan ve “wirevpn – Fast Unlimited Proxy” adı verilen bir Android uygulamasının 1 milyondan fazla indirildiği kaydedildi; ancak bu indirmelerin organik olup olmadığı net değil. WireVPN’i işleten WEILAI NETWORK TECHNOLOGY CO., LIMITED şirketi, Infoblox’un bulgularına itiraz etti. Şirket, kullanıcı cihazlarını konut proxy düğümleri olarak kaydettiklerini veya üçüncü taraf trafiği IP adresleri üzerinden yönlendirdiklerini reddediyor ve wire.exe veya upwire.exe adlı dosyaların resmi WireVPN yazılımı olmadığını belirtiyor. Bu durum, siber tehditlerin karmaşıklığını ve aktörlerin izlerini gizleme çabalarını bir kez daha gözler önüne seriyor.

Dijital Varlıkları Koruma ve Siber Güvenlik Önlemleri

Bu tür karmaşık siber saldırılardan korunmak için kullanıcıların alması gereken bazı temel önlemler bulunuyor. Her şeyden önce, yazılım indirme işlemlerini daima resmi ve güvenilir kaynaklardan yapmak kritik önem taşıyor. Özellikle 7-Zip gibi yaygın kullanılan araçların sahte sürümlerine karşı dikkatli olmak gerekiyor. Bilinmeyen e-postalardaki veya şüpheli web sitelerindeki bağlantılara tıklamaktan kaçınmak da bu tür kötü amaçlı yazılımların yayılmasını engellemede büyük rol oynuyor. Bir uygulamayı indirmeden önce geliştiricisini, yayıncı bilgilerini ve kullanıcı yorumlarını detaylıca incelemek, olası riskleri en aza indirmeye yardımcı olabilir.

Güvenilir bir antivirüs ve antimalware yazılımı kullanmak, sisteminizi düzenli olarak taramak ve işletim sisteminizi ile uygulamalarınızı güncel tutmak da siber güvenliğin olmazsa olmazlarından. Güncellemeler, genellikle bilinen güvenlik açıklarını kapatarak cihazlarınızı yeni tehditlere karşı daha dirençli hale getiriyor. Beklenmedik ağ trafiği artışları, bilgisayarın yavaşlaması veya pilin hızla tükenmesi gibi belirtilerle karşılaşıldığında, cihazınızın bir proxy düğümüne dönüştürülüp dönüştürülmediğini anlamak için kapsamlı bir güvenlik taraması yapmak önemlidir. Bu bilinçli yaklaşımlar, Lurking Lizard gibi siber tehdit aktörlerinin kurbanı olmaktan korunmanın en etkili yollarını sunuyor.

Sık Sorulan Sorular

Sahte 7-Zip yükleyicileri ne yapıyor?

Bu yükleyiciler, cihazlara kötü niyetli bir yazılım bulaştırarak onları gizlice siber suçluların kontrolündeki bir konut proxy ağına dahil ediyor.

Lurking Lizard kimdir?

Lurking Lizard, sahte 7-Zip ve diğer uygulama yükleyicileriyle cihazları ele geçirip bunları konut proxy düğümlerine dönüştüren organize bir siber tehdit aktörüdür.

Cihazımın bir proxy düğümü olup olmadığını nasıl anlarım?

Genellikle beklenmedik ağ trafiği artışı, cihaz performansında düşüş veya tanımadığınız uygulamaların arka planda çalışması gibi belirtiler görülebilir. Güvenilir bir antivirüs yazılımı ile sistem taraması yapmak önemlidir.

Özlem Özen

Merhaba, ben Özlem Özen. İçerik üreticisi olarak dijital dünyada bilgi, deneyim ve ilham verici içerikleri insanlarla buluşturmayı hedefliyorum. Sosyal medya, yaşam, kişisel gelişim, güncel trendler ve ilgi duyduğum farklı konular üzerine içerikler üreterek takipçilerime değer katmaya çalışıyorum. İçerik üretimini yalnızca paylaşım yapmak olarak değil, insanlarla anlamlı bir bağ kurmanın bir yolu olarak görüyorum. Bu nedenle hazırladığım her içerikte samimiyet, güvenilirlik ve fayda sağlamayı ön planda tutuyorum. Sürekli öğrenmeye, kendimi geliştirmeye ve değişen dijital dünyaya uyum sağlamaya önem veriyorum. Amacım; bilgi veren, düşündüren ve ilham kaynağı olan içeriklerle daha geniş kitlelere ulaşmak ve dijital platformlarda kalıcı bir değer oluşturmak. Üretmeye, öğrenmeye ve paylaşmaya duyduğum tutkuyla içerik yolculuğuma devam ediyorum.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu