Kaspersky, 90’dan Fazla Sahte Sitede ScreenConnect RAT Kampanyasını Ortaya Çıkardı

Kaspersky, 90'dan Fazla Sahte Sitede ScreenConnect RAT Kampanyasını Ortaya Çıkardı

Siber suçlular, popüler yazılımların taklit edildiği 90’dan fazla sahte web sitesi üzerinden ScreenConnect uzaktan yönetim aracını dağıtarak küresel bir saldırı kampanyası yürütüyor. Kaspersky araştırmacılarının tespit ettiği bu operasyon, 10 farklı dilde hazırlanmış alan adlarıyla hem bireysel kullanıcıları hem de kurumsal ağları hedef alıyor.

Sahte Sitelerle Küresel Hedefleme

Kaspersky’nin Managed Detection and Response hizmeti kapsamında keşfettiği kampanyada, saldırganlar OBS Studio, DNS Jumper, DS4Windows, Glary Utilities ve Bandicam gibi yaygın yazılımların birebir kopyası olan kurulum arşivlerini kullanıyor. Araştırmacılar, İngilizce, Arapça, İspanyolca, Çince, Almanca, Portekizce ve Rusça dahil 10 dilde oluşturulmuş sahte alan adlarını tespit etti. Saldırganlar, bu sitelerin arama motoru sonuçlarında üst sıralarda görünmesi için SEO tekniklerinden de yararlanıyor.

Şubat 2026’da alan adı kayıtlarının zirveye ulaştığı kampanyada, aynı tehdit aktörü 2025 yılında da oyun kılığında zararlı yükleyiciler dağıtmak için benzer yöntemler kullanmıştı. Bu durum, saldırganların sürekli olarak taktiklerini geliştirdiğini gösteriyor.

Bulaşma Süreci ve Kullanılan Teknikler

Enfeksiyon zinciri, Microsoft tarafından dijital olarak imzalanmış meşru bir install.exe dosyası ile birlikte zararlı install.res.1033.dll kitaplığını içeren arşiv dosyalarıyla başlıyor. DLL side-loading tekniği kullanılarak yüklenen bu DLL, cihaza ScreenConnect hizmetini kuruyor ve saldırganlardan gelecek komutları beklemeye başlıyor. Bu sayede saldırganlar, enfekte sisteme tam erişim sağlayarak açık kaynaklı truva atı AsyncRAT‘ı da yükleyebiliyor.

Kaspersky Kıdemli SOC Analisti Denis Kulik, kampanyanın özellikle kurumsal ağlar için büyük risk oluşturduğunu vurguluyor:

‘Uzaktan erişim araçları çoğu zaman güvenilir uygulamalar listesinde yer aldığı ve yüksek ayrıcalıklarla çalışmasına izin verildiği için, bu tür saldırılar kimlik bilgisi hırsızlığına ve sistemlere yetkisiz erişime yol açabiliyor. Ele geçirilen veriler daha sonra dark web forumlarında satışa sunuluyor.’

Kurumlar ve Bireyler İçin Korunma Yolları

Kaspersky uzmanları, işletmelerin bu tehdide karşı uygulama izin listeleri kullanmasını, güvenilmeyen kaynaklardan gelen MSI paketlerinin yüklenmesini engellemesini ve yeni uzaktan yönetim servislerini sürekli izlemesini öneriyor. Ayrıca bilinmeyen alan adlarına yönelik dış ağ trafiğinin filtrelenmesi, çalışanların güncel siber tehditler konusunda bilinçlendirilmesi ve yazılım kaynaklarının güvenilirliğinin doğrulanması da kritik önlemler arasında.

Bireysel kullanıcılar için ise yazılımların yalnızca güvenilir kaynaklardan indirilmesi, Kaspersky Premium gibi güçlü bir güvenlik çözümü kullanılması, çok faktörlü kimlik doğrulamanın etkinleştirilmesi ve internet sitelerinin URL’lerinin dikkatle kontrol edilmesi tavsiye ediliyor. Saldırganların sürekli yeni yöntemler geliştirdiği göz önüne alındığında, hem kurumların hem de bireylerin siber güvenlik önlemlerini sürekli güncel tutması büyük önem taşıyor.

İlgili Haberler

Kaspersky Uyardı: The Gentlemen Fidye Yazılımı Grubu Özel Araçlarla Operasyonlarını Hızla Büyütüyor

haberci

ESET 2025’te Yüzde 6 Büyüme ile 733 Milyon Avro Gelir Elde Etti

haberci

Samsung ve Google’dan Yapay Zekâlı Akıllı Gözlük: Gentle Monster ve Warby Parker İş Birliği

haberci
Yükleniyor....

Bu web sitesi deneyiminizi iyileştirmek için çerezler kullanır. Bunu kabul ettiğinizi varsayacağız, ancak isterseniz devre dışı bırakabilirsiniz. Kabul Et Devamını Oku

Gizlilik ve Çerez Politikası