Sahte 7-Zip Yükleyicileri, Cihazları Konut Proxy Ağına Katıyor

Siber güvenlik dünyası, son dönemde ortaya çıkan ve sahte 7-Zip yükleyicileri aracılığıyla binlerce hatta milyonlarca cihazı ele geçiren yeni bir tehdit aktörünün faaliyetlerini yakından inceliyor. “Lurking Lizard” adı verilen bu grup, ele geçirdiği cihazları gizlice konut proxy düğümlerine dönüştürerek büyük ölçekli ve kötü niyetli bir proxy iş ağı kurmuş durumda. Bu karmaşık altyapı, 230’dan fazla taklit alan adı üzerinden uzun süredir faaliyet gösteriyor ve kullanıcıların dijital güvenliği için ciddi bir tehlike oluşturuyor.
Siber Tehdit Aktörü Lurking Lizard’ın Yükselişi
Infoblox adlı DNS tehdit istihbarat firmasının detaylarını açıkladığı üzere, Lurking Lizard grubunun faaliyetleri en az Ağustos 2022’ye kadar uzanıyor. Bu tehdit aktörü, başta Çin merkezli olduğu düşünülen bir operasyonla, son kullanıcılara yönelik çeşitli tuzaklar kurarak geniş bir kurban ağı oluşturdu. Yöntemleri arasında, süresi dolan alan adlarını yeniden ele geçirerek onların geçmişini ve meşruiyetini kullanma olarak bilinen “drop-catching” tekniği öne çıkıyor. Ayrıca, “7zip[.]com” gibi yanlış referans verilen ancak meşru gibi görünen alan adlarını kötü amaçları için istismar etmeleri de dikkat çekiyor.
Lurking Lizard, yalnızca sahte 7-Zip yükleyicileriyle sınırlı kalmıyor; aynı zamanda IPIDEA, SmartProxy (şimdiki adıyla Decodo), IP Royal ve 911Proxy gibi bilinen büyük proxy sağlayıcılarını da taklit ediyor. Hatta kendi dolandırıcı vitrinlerine trafik çekmek için sahte bağımsız inceleme siteleri bile kurmaktan çekinmiyorlar. Bu durum, siber suçluların ne kadar organize ve sofistike hale geldiğini gözler önüne seriyor. WHOIS analizleri ve altyapı parmak izleri, bu yasa dışı planın arkasındaki aktörlerin coğrafi olarak Çin merkezli olduğunu işaret ediyor. Operasyonun, HeroSMS gibi popüler VPN’ler ve hizmetleri yem olarak kullanarak proxy zararlı yazılımlarını dağıttığı da tespit edildi.
Gizli Proxy Ağlarının İşleyişi ve Kurban Tuzakları
Kötü niyetli yazılımın cihazlara nasıl sızdığına bakıldığında, 7-Zip kampanyası örneğinde kurbanların başlangıçta öğretici içerikler, arama motorları üzerinden yapılan keşifler ve taklitçi alan adları aracılığıyla kötü amaçlı yükleyicilere yönlendirildiği görülüyor. Bu yükleyiciler cihazlara kurulduğunda, kullanıcıların bilgisi dışında onları birer “konut proxy düğümü” haline getiriyor. Böylece, saldırganlar ele geçirdikleri bu cihazların IP adreslerini kullanarak kendi proxy hizmetlerini üçüncü taraflara satabiliyor, bu da yasa dışı faaliyetlerin izini sürmeyi zorlaştırıyor.
Infoblox’un analizlerine göre, aynı altyapının 7-Zip dışında WhatsApp, TikTok ve YouTube indirme aracı olduğu iddia edilen uygulamalar ve WireVPN için de sahte yükleyiciler sunmak amacıyla kullanıldığı belirlendi. Bu çok yönlü yaklaşım, Android, macOS ve Windows dahil olmak üzere farklı işletim sistemlerindeki kullanıcıları hedef alıyor. Tehdidin evrimi içinde WireVPN markasının kullanılması, kampanyanın geldiği son noktayı temsil ediyor. Kullanıcılar, bilgisayarlarının veya mobil cihazlarının farkında olmadan bir proxy ağına dahil edildiğini genellikle performans düşüşü veya beklenmedik ağ trafiği artışı gibi belirtilerle fark edebilirler.
Taklit ve İddialar: WireVPN ve Diğer Sağlayıcılar
Lurking Lizard’ın taklitçilik stratejisi, bilinen proxy sağlayıcılarının isimlerini ve itibarını kötüye kullanma üzerine kurulu. Bu durumun en somut örneklerinden biri, Google’ın bu yılın Ocak ayında IPIDEA’nın altyapısını dağıtmasıyla ortaya çıktı. Ardından Proxyway tarafından yapılan araştırmalar, SmartProxy’ye ait 773.087 benzersiz IP adresinin, IPIDEA’nın 16.192.293 benzersiz IP içeren kamuya açık bir veri setinde bulunduğunu gösterdi. Bu bulgu, SmartProxy’nin ya doğrudan IPIDEA’nın altyapısını yeniden sattığını ya da onu önemli bir IP kaynağı olarak kullandığını düşündürüyor.
Kampanyanın son evrelerinden biri olan WireVPN markasının kullanımı da benzer bir tartışmayı beraberinde getirdi. Birleşik Krallık merkezli WIRE LTD altında yayınlanan ve “wirevpn – Fast Unlimited Proxy” adı verilen bir Android uygulamasının 1 milyondan fazla indirildiği kaydedildi; ancak bu indirmelerin organik olup olmadığı net değil. WireVPN’i işleten WEILAI NETWORK TECHNOLOGY CO., LIMITED şirketi, Infoblox’un bulgularına itiraz etti. Şirket, kullanıcı cihazlarını konut proxy düğümleri olarak kaydettiklerini veya üçüncü taraf trafiği IP adresleri üzerinden yönlendirdiklerini reddediyor ve wire.exe veya upwire.exe adlı dosyaların resmi WireVPN yazılımı olmadığını belirtiyor. Bu durum, siber tehditlerin karmaşıklığını ve aktörlerin izlerini gizleme çabalarını bir kez daha gözler önüne seriyor.
Dijital Varlıkları Koruma ve Siber Güvenlik Önlemleri
Bu tür karmaşık siber saldırılardan korunmak için kullanıcıların alması gereken bazı temel önlemler bulunuyor. Her şeyden önce, yazılım indirme işlemlerini daima resmi ve güvenilir kaynaklardan yapmak kritik önem taşıyor. Özellikle 7-Zip gibi yaygın kullanılan araçların sahte sürümlerine karşı dikkatli olmak gerekiyor. Bilinmeyen e-postalardaki veya şüpheli web sitelerindeki bağlantılara tıklamaktan kaçınmak da bu tür kötü amaçlı yazılımların yayılmasını engellemede büyük rol oynuyor. Bir uygulamayı indirmeden önce geliştiricisini, yayıncı bilgilerini ve kullanıcı yorumlarını detaylıca incelemek, olası riskleri en aza indirmeye yardımcı olabilir.
Güvenilir bir antivirüs ve antimalware yazılımı kullanmak, sisteminizi düzenli olarak taramak ve işletim sisteminizi ile uygulamalarınızı güncel tutmak da siber güvenliğin olmazsa olmazlarından. Güncellemeler, genellikle bilinen güvenlik açıklarını kapatarak cihazlarınızı yeni tehditlere karşı daha dirençli hale getiriyor. Beklenmedik ağ trafiği artışları, bilgisayarın yavaşlaması veya pilin hızla tükenmesi gibi belirtilerle karşılaşıldığında, cihazınızın bir proxy düğümüne dönüştürülüp dönüştürülmediğini anlamak için kapsamlı bir güvenlik taraması yapmak önemlidir. Bu bilinçli yaklaşımlar, Lurking Lizard gibi siber tehdit aktörlerinin kurbanı olmaktan korunmanın en etkili yollarını sunuyor.
Sık Sorulan Sorular
İlgili Makaleler
- ›Gizlenen Kimlik Avı Dalgaları Geleneksel E-posta Kalkanlarını Kırıyor
- ›Kimlik Doğrulama Adımı: Siber Saldırıların Yeni Cephesi
- ›Tenda Router Yazılımlarında Gizli Yönetici Arka Kapısı Riski
- ›Dijital Güvenlikte Yeni Dönem: 2026’nın En İyi Yapay Zeka ve Kimlik Korumalı Antivirüs Programları
- ›Lüks Perakendeciye Siber Saldırı: Windows Cihaz Kimliği Hacker'ı Ele Verdi