Bumblebee Zararlısı Zenmap ve WinMTR Gibi Açık Kaynak Araçlarla Yayılıyor
iber güvenlik uzmanları, Bumblebee zararlı yazılımının yayılmasında kullanılan yeni bir kampanyayı ortaya çıkardı. Bu kampanyada tehdit aktörleri, Zenmap ve WinMTR gibi popüler açık kaynak ağ araçlarını taklit eden sahte internet siteleri kurdu.
Sahte Siteler Zararlı Yazılım Yüklüyor
BleepingComputer’ın aktardığına göre, bu zararlı yazılım kampanyasında kullanılan sahte siteler, arama motorlarında yüksek sıralamalara ulaşmak için SEO zehirlemesi yöntemini kullanıyor. Kullanıcılar, “zenmap[.]pro” ve şu anda çevrim dışı olan “winmtr[.]org” gibi sitelere yönlendirilerek sahte yazılımları indiriyor.
Zenmap’in taklidi olan “zenmap[.]pro” adresi, doğrudan ziyaret edildiğinde yapay olarak üretilmiş içeriklerin yer aldığı sahte bir blog sayfası gösteriyor. Ancak siteye arama motorları aracılığıyla ulaşıldığında, gerçek Zenmap sitesini taklit eden bir ara yüzle karşılaşılıyor.
Sitede “zenmap-7.97.msi” ve “WinMTR.msi” dosyaları indirilebiliyor. Bu kurulum dosyaları, görünüşte meşru yazılımları yüklerken aynı zamanda tespit edilmesi zor olan zararlı bir DLL dosyası ile birlikte Bumblebee yükleyicisini de sisteme yerleştiriyor.
Yükleme işlemi tamamlandıktan sonra Bumblebee, hedef sistemde arka kapı oluşturuyor. Bu sayede siber saldırganlar, hedefi daha ayrıntılı şekilde analiz edebiliyor ve sistemlere fidye yazılımları ya da bilgi hırsızlığına yönelik zararlılar dahil olmak üzere farklı kötü amaçlı yazılımlar yerleştirebiliyor.
Araştırmacılar, bu kampanyanın yalnızca Zenmap ve WinMTR ile sınırlı olmadığını belirtiyor. Aynı yöntemin, Hanwha markalı güvenlik kameraları için kullanılan WisenetViewer yazılımı ve Milestone XProtect adlı video yönetim yazılımı için de kullanıldığı tespit edildi. Milestone yazılımı için kullanılan sahte site “milestonesys[.]org” hâlen yayında.
Daha önce RVTools yazılımı da benzer bir saldırıya hedef olmuştu. Ancak bu durumun ardından, Robware.net ve RVTools.com adreslerindeki resmî siteler geçici olarak çevrim dışı bırakıldı. Dell Technologies, bu sitelerin zararlı yazılım barındırdığı iddialarını reddederek, söz konusu alan adlarının DDoS saldırılarına maruz kaldığını ve bu nedenle erişime kapatıldığını açıkladı. Uzmanlar, bu saldırıların arkasındaki kişilerin resmî kaynaklara erişimi engelleyerek kullanıcıları sahte sitelere yönlendirmeyi amaçladığını değerlendiriyor.
Kullanıcıların, meşru yazılımların sahte versiyonlarına karşı her zaman dikkatli olması gerekiyor. Yazılımlar yalnızca geliştiricinin resmî sitesi veya güvenilir paket yöneticileri üzerinden indirilmeli. Ayrıca indirilen kurulum dosyalarının hash değerleri, bilinen temiz versiyonlarla karşılaştırılmalı. Bu adımlar, siber güvenlik risklerini en aza indirmek için büyük önem taşıyor.
