Google, Devasa Oltalama ve Kötü Amaçlı Yazılım Kampanyası ile Mücadelesini Kazandı 

Google, Mayıs-2016’dan bu yana YouTube hesaplarını ele geçirip kripto para dolandırıcılığı yapmayı amaçlayan 1,6 milyon oltalama e-postası içeren siber saldırı kampanyasını bloke etti. Google Tehdit Analizi Grubu’na (TAG) göre, 2019’dan bu yana Rusya merkezli siber saldırıların bloke edildiği, saldırılarda oldukça gelişmiş oltalama e-postaları ve çerez çalmak için üretilmiş kötü amaçlı yazılımların kullanıldığı kaydedildi.

YouTube hesaplarını ele geçirerek bağış karşılığında bedava kripto para vadederek dolandırıcılık girişimleri gerçekleştirmek saldırıların temel amacını oluşturuyor. Saldırı grubu YouTube hesaplarını takipçi sayısına göre değişen fiyatlarla satarken ortalama fiyatın 3 ile 4 bin dolar arasında değiştiği bilgisi paylaşıldı.

Mayıs-2021 itibarıyla 1,6 milyon mesajın bloke edildiği, 62 bin Güvenli Tarayıcı alarmının devreye girdiği ve ele geçirilen 4 bin hesabın kurtarıldığı açıklandı.

Teknik detaylar

Oltamala e-postaları, tarayıcılardan çerez çalmak için geliştirilen kötü amaçlı yazılımlar aracılığı ile dağıtıldı.

“Pass-the-cookie” adı verilen saldırı türünün yeni olmadığı, ancak daha gelişmiş bir şekilde sunulduğu belirtildi.

Yeni versiyon, kullanıcılar çok adımlı doğrulama (MFA) basamağını tamamladıktan sonra devreye giriyor ve bu güvenlik adımını bypass edebiliyor. Kötü amaçlı yazılım devreye girdiği zaman çerez, saldırganın sunucularına ekleniyor ve hesap çalınabiliyor.

Siber saldırıların hedefi antivirüs, müzik ve fotoğraf yazılımları ya da çevrimiçi oyunlar için hazırlanan demoları paraya çevirmek gibi sahte iş fırsatları ile YouTube sayfaları oluyor. Sonrasında ise siber korsanlar YouTube kanallarını ele geçirerek kripto para dolandırıcılığı için kullanılıyor.

Öte yandan YouTube’un kanal bilgilerinde kullanıcıların e-posta adres bilgilerini vermesinden dolayı siber korsanların bu bilgiye kolayca erişebildiği hatırlatılırken hedeflenen sayfalar sahte teklifi kabul ederse, yazılım indirme URL’si olarak gizlenen kötü amaçlı yazılım e-posta veya PDF olarak Google Drive üzerinden gönderiliyor.

Bazı durumlarda ise oltalama bağlantıları içeren Google Dokümanları kullanılıyor.

Araştırmacılar, kampanya içinde yer alan yaklaşık 15.000 siber korsan veya grubun tespit edildiğini belirtti.

Bugüne kadar saldırının yayılması için 1.011 alan adı üretildiği de not düşüldü. Alan adlarının Luminar, Cisco VPN ve Steam oyunları gibi güvenilir marka isimlerine gizlendiği belirtildi. Saldırganların aynı zamanda çerez çalma eylemini tekrarlı gerçekleştirmediği, böylece güvenlik sistemlerini alarma geçirmemeyi hedefledikleri de ifade edildi.