Doctor Web adlı bir antivirüs şirketinden araştırmacılar; dünya çapında binlerce kullanıcının Google Chrome güncellemesi olarak sunulan tehlikeli bir yazılımla tuzağa düşürüldüğünü açıkladı. Şirket, kullanıcıları sahte Chrome güncellemelerine karşı uyardı. Sahte Google Chrome Güncellemeleri Tuzağa Düşürdü konusu da böylelikle açılmıştır.
Doctor Web, yayınladığı blog yazısında sahte Google Chrome güncellemelerinin hackerlar tarafından ele geçirilen WordPress tabanlı siteler aracılığıyla yayıldığını belirtti. Antivirüs şirketi; bu siteler arasında haber bloglarından, resmi kurumsal sitelere kadar birçok güvenilir sitenin bulunduğunu dile getirdi.
Bilgisayar korsanları, yönetici erişimi sağladıkları sitelere kötü amaçlı JavaScript yönlendirme komutu yerleştirerek, ziyaretçileri doğrudan resmi gibi görünen bir Google Chrome güncelleme sayfasına yönlendiriyor. Dosya yürütüldüğünde, kötü amaçlı yazılım Windows korumasından gizlenmektedir. Ayrıca bilgisayarlara zararlı bir TeamViewer benzeri uzaktan kontrol uygulaması yüklüyor.
Hackerlar daha sonra kurbanların bilgisayarlarına keylogger veya veri hırsızlığı yapan yazılımlar yükleyebiliyorlar. Doctor Web, Türkiye, ABD, Kanada, İsrail, Avustralya ve İngiltere’den binlerce kullanıcının sahte Chrome güncellemelerinden etkilendiğini açıkladı.
Şirket, kullanıcılara Google Chrome’un otomatik güncelleme özelliğini kullanmalarını veya güncellemeleri tarayıcının sağ üst köşesindeki açılır menüden Yardım>Google Chrome Hakkında kısmından yapmalarını öneriliyor.
Saldırı Detayları
Araştırmacılar saldırının üç aşamada gerçekleştiğini belirtti. İlk aşamada siber saldırganlar güvenlik bariyeri zayıf WordPress (WP) sayfalarına saldırarak içine zararlı ama görülebilmektedir. Ayrıca JavaScript kodu yerleştiriyor. İkinci aşamada ise; bu sayfaları ziyaret edenler sahte Google sayfalarına yönlendirilerek güncelleme yapmaları gerektiği konusunda bildiri alıyor. Bu esnada birçok indirme tuşu da sayfada görünüyor.
Siber suçluların Google Chrome tarayıcısı üzerinden kötü amaçlı yazılım yaymak adına; sahte güncellemeler geliştirdikleri tespit edilmiştir. Güvenlik uzmanları, sahte güncellemeler ile tuzağa düşürülmek istenen hedef kitlenin ABD, Kanada, Avusturalya, Birleşik Krallık, İsrail ve Türkiye olduğu kaydedilmiştir. Ayrıca analizler, 26 Mart tarihi itibarıyla iki benzer versiyonda hazırlanan kötü amaçlı yazılımın 3 bin kez indirildiğini ortaya koydu.
Kötü amaçlı yazılımı yayan sahte yükleme dosyalarından ilkinin 13 Mart tarihinde yapılan “Critical_Update.exe” diğerinin ise 25 Mart’taki “Update.exe.” olduğu açıklandı.
Güvenlik uzmanları sahte Chrome güncellemesi üzerinden siber saldırıya uğramamak için tüketicilerin mutlaka bir antivirüs yazılımı kullanması gerektiği uyarısında bulunmaktadır. Bir diğer güvenli alternatif ise; güvenlik firmaları bu saldırıyı ortadan kaldırana dek Mozilla Firefox veya Opera gibi diğer tarayıcıları kullanmak.
Üçüncü Aşama
Tuzağa düşen internet kullanıcısının sahte kurulum dosyasını çalıştırması ile başlıyor. Yazılımın kurulması ile bilgisayara uzaktan kontrol sağlayan TeamViewer kuruluyor ve siber saldırganlar istedikleri işlemi gerçekleştirebiliyor. Aynı zamanda bir kod yükleyerek Microsoft Defender güvenlik sisteminin devre dışı kalmasını sağlıyorlar.
WordPress binlerce plug-in (eklenti) kullandığı için saldırının yüksek risk taşıdığını belirten güvenlik uzmanları ise; ilgili güncellemelerin mutlaka yapılmasını ve antivirüs programları kullanılması gerektiğinin altını çiziyor.
