Sahte "Ben Robot Değilim" Sayfaları

15:15:14

Bilgisayar Korsanları, Kötü Amaçlı Yazılım Dağıtmak İçin Sahte CAPTCHA Testlerini Kullanıyor

ColdRiver grubuna (Star Blizzard, UNC4057 veya Callisto olarak da bilinir) atfedilen Rusya bağlantılı hackerlar, yeni casusluk amaçlı kötü amaçlı yazılım türlerini yaymak için sahte “Ben robot değilim" CAPTCHA istemleri kullanıyor ve taktiklerinde önemli bir gelişme kaydediyorlar…

“ClickFix" olarak bilinen bu teknik, genellikle kimlik avı e-postaları veya ele geçirilmiş web siteleri aracılığıyla kurbanları, rutin bir doğrulama adımı gibi görünen kötü amaçlı kodları çalıştırmaya ikna etmeyi içeriyor.

Google‘ın 2025 yılının Mayıs ayında grubun daha önce ortaya çıkan LostKeys kötü amaçlı yazılımı hakkında ayrıntıları açıklamasından kısa bir süre sonra başlayan kampanya, NOROBOT, YESROBOT ve MAYBEROBOT gibi yeni araçların hızla kullanıma sunulmasına tanık oldu.

İlk yük olan NOROBOT, sahte bir CAPTCHA sayfası aracılığıyla kötü amaçlı bir DLL ile teslim edilir ve kullanıcıları, doğrulama süreci kisvesi altında kötü amaçlı yazılımı çalıştıran bir komut (rundll32 gibi) çalıştırmaya yönlendirir.

NOROBOT, kayıt defteri değişiklikleri ve zamanlanmış görevler aracılığıyla kalıcılık sağlar ve YESROBOT arka kapısının dağıtımına hazırlanmak için tam bir Python 3.8 yüklemesi alabilir. YESROBOT, çalışması için geçerli Python komutları gerektiren minimal bir Python tabanlı araçtır.

MAYBEROBOT gibi daha sonraki varyantlar YESROBOT‘un yerini almıştır, bu da tespit edilmekten kaçınmak için sürekli iyileştirme yapıldığını göstermekte.

Bu saldırılar, Batı hükûmetleri, düşünce kuruluşları, medya kuruluşları, diplomatlar, STK’lar, muhalifler ve politika danışmanları dahil olmak üzere yüksek değerli bireyler ve kuruluşlara odaklanan, son derece hedefli saldırılardır.

Saldırganlar, kötü amaçlı yazılımı yalnızca belirli kurbanlara ulaştırmak için sunucu tarafı filtreleme kullanır, bu da büyük ölçekli tespiti daha da zorlaştırır.

Kötü amaçlı yazılım, şifreli iletişim, anti-analiz teknikleri ve bölünmüş şifreleme anahtarlarına sahip çok aşamalı dağıtım zincirleri kullanır, bu da izleme ve analizi zorlaştırır.

Grubun, altyapıyı yeniden inşa etme ve ortaya çıktıktan birkaç gün içinde yeni yükleri dağıtma gibi hızlı bir şekilde yön değiştirme yeteneği, önemli kaynaklara, modüler bir mimariye ve küresel mühendislik yeteneklerine erişime sahip olduğunu göstermektedir.

Güvenlik uzmanlarına, geleneksel imza tabanlı algılamanın ötesine geçerek, uç nokta algılama ve yanıt (EDR) ile ağ algılama ve yanıt (NDR) araçları dahil olmak üzere davranış tabanlı izlemeyi benimsemeleri ve olağandışı PowerShell yürütme, şüpheli ağ çağrıları veya dosyasız kötü amaçlı yazılım kalıpları gibi anormallikleri tespit etmeleri önemle tavsiye ediliyor.

Normal kullanıcı ve ana bilgisayar davranışları için temel kriterler belirlemek, sıfır güven mimarileri uygulamak, en az ayrıcalıklı erişim uygulamak ve düzenli tehdit avcılığı yapmak kritik savunma önlemleridir.

Simüle edilmiş CAPTCHA saldırıları da dahil olmak üzere etkileşimli kimlik avı konusunda güvenlik farkındalığı eğitimi de başarı oranlarını düşürmek için öneriliyor.