Pazar, Şubat 16, 2025
Ana SayfaTeknoloji HaberleriBilgisayar korsanı grubu, kötü amaçlı web sitesi kampanyasına DNS ele geçirmeyi dahil...

Bilgisayar korsanı grubu, kötü amaçlı web sitesi kampanyasına DNS ele geçirmeyi dahil ediyor

DNS kaçırma konsepti.
Büyüt / DNS kaçırma konsepti.

Araştırmacılar, virüslü telefonun bağlı olduğu kablosuz yönlendiriciyi kurcalayabilen ve yönlendiriciyi tüm ağ cihazlarını kötü amaçlı sitelere göndermeye zorlayabilen kötü amaçlı bir Android uygulamasını ortaya çıkardı.

Kaspersky tarafından bulunan kötü amaçlı uygulama, DNS (Etki Alanı Adı Sistemi) ele geçirme olarak bilinen bir teknik kullanıyor. Uygulama yüklendikten sonra yönlendiriciye bağlanır ve yönetici hesabı gibi varsayılan veya yaygın olarak kullanılan kimlik bilgilerini kullanarak yönetici hesabında oturum açmaya çalışır. Başarılı olduğunda uygulama, DNS sunucusunu saldırganlar tarafından kontrol edilen kötü amaçlı bir sunucuya değiştirir. O andan itibaren ağdaki cihazlar, yasal olanları taklit eden ancak kötü amaçlı yazılım yayan veya kullanıcı kimlik bilgilerini veya diğer hassas bilgileri günlüğe kaydeden sahte sitelere yönlendirilebilir.

Geniş yayılma kabiliyetine sahip

Kaspersky araştırmacıları, “Bu yeni DNS değiştirici uygulamasının keşfedilmesinin güvenlik açısından çok önemli olduğuna inanıyoruz” diye yazdı. “Saldırgan, hileli DNS ayarlarına sahip güvenliği ihlal edilmiş bir Wi-Fi yönlendirici kullanan cihazlardan gelen tüm iletişimleri yönetmek için bunu kullanabilir.”

Araştırmacılar şöyle devam etti: “Kullanıcılar virüslü Android cihazlarını kafeler, barlar, kütüphaneler, oteller, alışveriş merkezleri ve havaalanları gibi yerlerde ücretsiz/genel Wi-Fi’ye bağlıyor. Güvenlik açığı bulunan ayarlarla hedeflenen bir Wi-Fi modeline bağlandığında, Android kötü amaçlı yazılımı yönlendiriciyi tehlikeye atar ve diğer cihazları da etkiler. Sonuç olarak, hedeflenen bölgelerde yaygın olarak yayılma kabiliyetine sahiptir.”

DNS, ArsTechnica.com gibi bir alan adını, sitenin barındırıldığı sayısal IP adresi olan 18.188.231.255 ile eşleştiren mekanizmadır. DNS aramaları, bir kullanıcının İSS’si tarafından işletilen sunucular veya Cloudflare veya Google gibi şirketlerin hizmetleri tarafından gerçekleştirilir. Saldırganlar, bir yönlendiricinin yönetim panelindeki DNS sunucusu adresini meşru bir adresten kötü amaçlı bir adrese değiştirerek, yönlendiriciye bağlı tüm cihazların siber suçlar için kullanılan benzer sitelere yönlendiren kötü amaçlı alan aramaları almasına neden olabilir.

Android uygulaması Wroba.o olarak bilinir ve ABD, Fransa, Japonya, Almanya, Tayvan ve Türkiye dahil olmak üzere çeşitli ülkelerde yıllardır kullanılmaktadır. Merakla, kötü amaçlı yazılımın yapabildiği DNS ele geçirme tekniği neredeyse yalnızca Güney Kore’de kullanılıyor. Saldırganlar, 2019’dan 2022’nin çoğuna kadar, smishing olarak bilinen bir teknik olan kısa mesajlar yoluyla gönderilen kötü amaçlı sitelere hedef çekti. Geçen yılın sonlarında, saldırganlar bu Asya ülkesindeki faaliyetlerine DNS korsanlığını dahil ettiler.

DNS ele geçirme ve parçalama ile enfeksiyon akışı.
Büyüt / DNS ele geçirme ve parçalama ile enfeksiyon akışı.

Güvenlik sektöründe Roaming Mantis olarak bilinen saldırganlar, DNS ele geçirmeyi yalnızca cihazlar sahte bir web sitesinin mobil sürümünü ziyaret ettiğinde çalışacak ve büyük olasılıkla kampanyanın tespit edilmemesini sağlayacak şekilde tasarladılar.

Tehdit ciddi olsa da büyük bir eksikliği var: HTTPS. HTTPS’nin temelini oluşturan Aktarım Katmanı Güvenliği (TLS) sertifikaları, ArsTechnica.com gibi bir alan adını yalnızca site operatörü tarafından bilinen özel bir şifreleme anahtarına bağlar. Modern bir tarayıcı kullanarak Ars Technica kılığında kötü amaçlı bir siteye yönlendirilen kişiler, bağlantının güvenli olmadığına dair uyarılar alacak veya kullanıcıların asla izlememesi gereken bir uygulama olan kendinden imzalı bir sertifikayı onaylamaları istenecek.

Tehditle mücadele etmenin başka bir yolu da, bir yönlendiricinin yönetici hesabını koruyan parolanın varsayılandan güçlü bir parolaya değiştirilmesini sağlamaktır.

Yine de, herkes bu tür en iyi uygulamalar konusunda bilgili değildir ve bu da onları, erişmeyi amaçladıkları meşru siteyle neredeyse aynı görünen kötü amaçlı bir siteyi ziyaret etmeye açık hale getirir.

Perşembe günkü raporda, “Ücretsiz veya halka açık Wi-Fi ağlarına bağlanan virüslü Android cihazlara sahip kullanıcılar, bağlandıkları Wi-Fi ağı savunmasızsa, kötü amaçlı yazılımı ağdaki diğer cihazlara yayabilir.” “Kaspersky uzmanları, DNS değiştiricinin diğer bölgeleri hedeflemek ve önemli sorunlara neden olmak için kullanılma potansiyelinden endişe duyuyor.

RELATED ARTICLES

Popüler Konular