İSTANBUL (AA) - Kaspersky araştırmacıları, bir Virtual Private Network (VPN) hizmetinin, kullanıcı kimliklerini ele geçirmek amacıyla web sitesini kopyalayarak truva atı yaymaya çalıştığını tespit etti.
Kaspersky açıklamasına göre, AZORult, Rusya forumlarında en çok tercih edilen ve alınıp satılan saldırı araçlarının başında geliyor.
Bulaştığı sistemlerde kullanıcıların ciddi tehlikelerle karşı karşıya kalmasına sebep olan bu truva atı, tarayıcı geçmişi, kişisel hesaplara giriş bilgileri, çerezler, klasörlerdeki dosyalar ve kripto cüzdan dosyaları gibi pek çok veriyi toplayabilmenin yanı sıra diğer zararlı yazılımların yüklenmesine de aracı oluyor.
Kasım 2019'da başlayan saldırı türü, kullanıcıların kişisel bilgilerini ve kripto paralarını çalmaya odaklanıyor. AZORult, 2019'da 73 bin 719 saldırı gerçekleştirirken Türkiye'de 23 bin 322 kullanıcıyı hedef aldı.
Ocak 2020’de de 12 bin 748 saldırı gerçekleştiren siber suçlular 5 bin 664 kullanıcıya erişebildi.
VPN hizmetleri, sunduğu ek veri koruması ve internette güvenli gezinti imkanı sağlamasıyla önemli bir rolü üstleniyor.
Siber suçlular AZORult olayında, güvenilir VPN'lerin kimliğini taklit ederek onların artan popülaritesinden kötü amaçları için yararlanıyor. Söz konusu olayda, saldırganların popüler bir VPN hizmetinin web sitesinin kopyasını oluşturduğu belirlendi.
Sahte web sitesine olan bağlantılar, farklı banner ağları üzerinden gösterilen reklamlar yoluyla yayılıyor. Sahte siteyi ziyaret eden kurbanlardan ücretsiz bir VPN yükleyici indirmesi isteniyor.
- "Yazılımın nereden indirildiği son derece önemli"
Sahte VPN'in Windows kurulum dosyasını indirip kuran kurbanın bilgisayarına, AZORult örneğinin bir kopyası yerleştiriliyor. Truva atı çalışır çalışmaz etkilenen cihazın ortam bilgilerini topluyor ve kendi sunucusuna raporluyor.
Öte yandan, saldırganlar yerel olarak kullanılabilir kripto cüzdanlardan, e-posta kimlik bilgilerinden ve benzer ortamlardan toplanan bilgileri ele geçiriyor.
Açıklamada görüşlerine yer verilen GReAT Latin Amerika Direktörü Dmitry Bestuzhev, kullanıcıların, internette dolaşırken, önemli ve kişisel bilgilerini korumak için dikkatli olmaları gerektiğini belirterek, şunları kaydetti:
"Bu durum ayrıca her cihazda siber güvenlik çözümleri bulundurmanın önemini de ortaya koyuyor. Kimlik avı amacına yönelik kurgulanmış sahte web siteleri söz konusu olduğunda, kullanıcının gerçek web sitesini sahte sürümden ayırt etmesi çok zor.
Siber suçlular bunu bildiği için genellikle popüler markaları hedef alıyorlar ve almaya da devam edecekler gibi görünüyor. İnternette veri alışverişi yapacak olan kullanıcıların VPN kullanmasını şiddetle tavsiye ediyoruz fakat VPN yazılımının nereden indirildiğini kontrol etmeleri de son derece önemli."
