Gelişmiş bir siber suç operasyonu, güvenilir VPN uygulamaları gibi görünen kötü amaçlı yazılımları dağıtmak için arama sonuçlarını ele geçiriyor. Meşru sanal özel ağ araçları arayan kullanıcılar, gerçeğiyle aynı görünen sahte web sitelerine ulaşıyor.
Microsoft bu kampanyayı yeni ortaya çıkardı. Teknoloji devi uyarıyorBilgisayar korsanları SEO zehirleme tekniklerini kullanıyorarama sıralamalarını değiştirmek için. Bu, kötü amaçlı sitelerini, şüphelenmeyen kullanıcıların ilk tıkladığı yere, arama sonuçlarının en üstüne iter.
Bilgisayar korsanları arama sonuçlarını silah haline getiriyor
Microsoft, siber suçluların sahte web sitelerini tanıtmak için arama motoru algoritmalarıyla aktif olarak oyun oynadığını keşfetti. Saldırganlar özellikle tanınmış güvenlik sağlayıcılarının kurumsal VPN yazılımlarını arayan kişileri hedef alıyor.
Kampanya, Ivanti, Cisco, Check Point, SonicWall, Fortinet, WatchGuard ve Sophos'un meşru VPN istemcilerini taklit ediyor. Bilgisayar korsanları, orijinal satıcı sayfalarını neredeyse mükemmel şekilde yansıtan ikna edici kopya web siteleri oluşturur.
İkna edici kopya web siteleri oluşturmaya yönelik bu aynı teknik, Facebook şifre kimlik avı planlarında da kullanılıyor.Saldırganların sahte giriş bilgileri oluşturduğu yerKullanıcıların, kimlik bilgilerini girmeden önce farkı fark etmeyeceklerini umarak, gerçek Facebook sitesine tam olarak benzeyen sayfalar.
Bu zehirli arama sonuçlarına tıklayan kullanıcılar sahte sitelere yönlendiriliyor. Sahte sayfalar meşru görünen indirme bağlantılarını barındırır. Ancak indirme aslında saldırganlar tarafından kontrol edilen kötü amaçlı bir GitHub deposuna işaret ediyor.
Depo, içinde Microsoft Windows Installer (MSI) dosyası bulunan bir ZIP dosyası içerir. Bu yükleyici, kurulum işlemi sırasında kötü amaçlı bir veri çalıştırıyor. Zararlı dinamik bağlantı kitaplığı (DLL) dosyalarını, anında şüphe uyandırmadan kurbanın sistemine dışarıdan yükler.
Sahte VPN nasıl çalışır?
Sahte VPN yazılımı herhangi bir gerçek VPN hizmeti sağlamaz. Bunun yerine, bir kimlik bilgisi toplayıcı işlevi görür. Kötü amaçlı yazılım, kurbanlar şifrelerini ve VPN yapılandırma ayrıntılarını girer girmez oturum açma kimlik bilgilerini ele geçiriyor.
Program, orijinal VPN istemci arayüzüne çok benzeyen bir oturum açma penceresi görüntüler. Bu görsel aldatmaca, kullanıcıları meşru yazılımla etkileşimde olduklarına inandırıyor. Bu arada kötü amaçlı yazılım, kimlik bilgilerini sessizce saldırganların komuta ve kontrol sunucularına sızdırıyor.
Kalıcı erişimi sağlamak için kötü amaçlı yazılım, kurulum sırasında bir arka kapı oluşturur. Virüs bulaşmış cihaz yeniden başlatıldığında, kötü amaçlı programın otomatik olarak yürütülmesini sağlayan Windows RunOnce kayıt defteri anahtarını değiştirir.
Sahte yükleyici, kimlik bilgilerini başarıyla çaldıktan sonra gerçekçi bir hata mesajı görüntüler. Mesaj, kullanıcılara kurulumun teknik sorunlar nedeniyle başarısız olduğunu bildirir. Daha sonra onlara orijinal VPN istemcisini resmi satıcı web sitesinden indirmeleri yönünde yararlı bir talimat verir.
Microsoft, yakın tarihli bir güvenlik blog yazısında şöyle açıkladı: "Kullanıcılar ilk kurulum hatasını kötü amaçlı yazılımlara değil, teknik sorunlara bağlayabilirler." "Kullanıcılar daha sonra yasal VPN yazılımını kurup kullanmayı başarırsa ve bağlantı beklendiği gibi başarısız olursa, son kullanıcı açısından herhangi bir tehlike belirtisi görülmez."
Bu akıllı sosyal mühendislik taktiği, saldırıyı tamamen maskeliyor. Kurbanlar daha sonra mükemmel çalışan gerçek VPN istemcisini yükler. Kötü amaçlı yazılımların zaten sistemlerini tehlikeye attığından ve kimlik bilgilerini çaldığından asla şüphelenmiyorlar.
Kampanyanın arkasındaki tehdit aktörü
Microsoft Tehdit İstihbaratı ve Microsoft Defender Uzmanları bu saldırıların izini Storm-2561'e kadar sürdü. Bu tehdit aktörü Mayıs 2025'te faaliyete geçti ve popüler yazılım sağlayıcılarının kimliğine bürünme konusunda itibar kazandı.
Storm-2561 özellikle uzaktan çalışmak için VPN erişimine ihtiyaç duyan kurumsal kullanıcıları hedefliyor. Kurumsal kimlik bilgileri, saldırganlara iş ağlarına değerli giriş noktaları sağlar. Suçlular bu kimlik bilgilerini aldıktan sonra hassas şirket kaynaklarına erişebilir, özel verileri çalabilir veya fidye yazılımı dağıtabilir.
SEO zehirlenmesinin kullanılması bu kampanyayı özellikle tehlikeli kılmaktadır. Çoğu kullanıcı meşru sonuçlar sunmak için arama motorlarına güvenir. Özellikle iyi bilinen yazılımları ararken, üst düzey bağlantıları nadiren incelerler.
Kuruluşların çalışanlarını bu riskler konusunda eğitmesi gerekir. İndirme kaynaklarını her zaman dikkatlice doğrulayın. Arama sonuçlarına tıklamak yerine doğrudan satıcı web sitelerine gidin. Ekstra bir güvenlik katmanı eklemek için tüm VPN bağlantılarında çok faktörlü kimlik doğrulamayı etkinleştirin.
Storm-2561'in taktikleri, siber suçluların yöntemlerini nasıl geliştirmeye devam ettiğini gösteriyor. Kullanıcıların arama motorlarına ve tanıdık marka adlarına duyduğu güveni istismar ediyorlar. Dikkatli olmak ve beklenmeyen kurulum hatalarını sorgulamak, yakın bir çağrı ile büyük bir güvenlik ihlali arasındaki fark olabilir.