HaberSiber Saldırılar
0

Sahte 7-Zip Sitesi Bilgisayarınızı Proxy Düğümüne Dönüştürüyor

Sahte 7-Zip Sitesi Bilgisayarınızı Proxy Düğümüne Dönüştürüyor
Yazı Özetini Göster

Popüler arşivleme yazılımı 7-Zip’in resmi sitesini birebir taklit eden sahte bir web sitesi, kullanıcıların bilgisayarlarını gizlice konut proxy ağına dönüştüren truva atlı bir yükleyici dağıtıyor. Uzun süredir fark edilmeden faaliyet gösteren bu kampanya, bir Reddit kullanıcısının yaşadığı enfeksiyon deneyimini paylaşmasıyla gün yüzüne çıktı.

Ne Oldu?

Saldırganlar, 7-Zip’in resmi web adresi olan 7-zip.org yerine 7zip[.]com alan adını tescil ederek orijinal sitenin tasarımını, metin içeriğini ve yapısını birebir kopyaladı. Bu sahte site, işlevsel bir 7-Zip kurulumu sunarken arka planda zararlı yazılım bileşenlerini de sisteme yüklüyor. Kampanya, bir Reddit kullanıcısının r/pcmasterrace topluluğunda yaşadığı deneyimi paylaşmasıyla kamuoyunun dikkatine geldi. Kullanıcı, yeni bir bilgisayar toplarken izlediği YouTube eğitim videosundaki yanlış bağlantıyı takip ederek sahte siteden 7-Zip indirmiş ve USB bellek aracılığıyla başka bir sisteme de bulaştırmıştı.

Yaklaşık iki hafta boyunca herhangi bir anormallik fark edilmedi. Sonunda Microsoft Defender, sistemi genel bir truva atı tespiti ile işaretleyerek gizli enfeksiyonu ortaya çıkardı. Malwarebytes güvenlik araştırmacıları konuyu derinlemesine inceledi ve zararlının gerçek amacını tespit etti.

Zararlı Yazılım Nasıl Çalışıyor?

Sahte siteden indirilen yükleyici, tamamen çalışan bir 7-Zip File Manager kurulumu gerçekleştiriyor. Ancak bu kurulum sırasında üç gizli bileşen de sessizce sisteme yerleştiriliyor: Uphero.exe, hero.exe ve hero.dll. Bu dosyalar, sıradan kullanıcıların neredeyse hiç kontrol etmediği C:\Windows\SysWOW64\hero\ dizinine kopyalanıyor. Yükleyici, Jozeal Network Technology Co., Limited adına düzenlenmiş ve şu anda iptal edilmiş bir Authenticode sertifikasıyla dijital olarak imzalanmış durumda, bu da ilk bakışta meşru bir yazılım izlenimi yaratıyor.

Kurulumun ardından zararlı yazılım, hem Uphero.exe hem de hero.exe dosyalarını SYSTEM ayrıcalıklarıyla otomatik başlayan Windows hizmetleri olarak kaydediyor. Ardından netsh komutlarıyla mevcut güvenlik duvarı kurallarını silerek kendi bileşenleri için gelen ve giden trafik izinleri oluşturuyor. Bu sayede sistem her açıldığında zararlı otomatik olarak çalışmaya başlıyor ve ağ iletişimini kesintisiz sürdürüyor.

Konut Proxy Ağı Tehdidi

İlk analizlerde arka kapı (backdoor) özellikleri gösteren zararlının asıl amacı, bağımsız güvenlik araştırmacısı Luke Acha’nın çalışmasıyla ortaya çıktı: enfekte olan bilgisayar bir konut proxy düğümüne dönüştürülüyor. Konut proxy ağları, gerçek ev kullanıcılarının IP adreslerini kullanarak internet trafiğini yönlendiriyor. Bu altyapı; kimlik bilgisi doldurma saldırıları, oltalama kampanyaları, reklam dolandırıcılığı, veri kazıma ve anonim trafik yönlendirme gibi kötü amaçlı faaliyetler için kullanılıyor.

hero.exe bileşeni, döngüsel olarak değişen “smshero” temalı komuta-kontrol sunucularından yapılandırma verilerini alıyor ve 1000 ile 1002 gibi standart dışı portlar üzerinden giden proxy bağlantıları kuruyor. Kontrol mesajları, 0x70 anahtarlı hafif bir XOR şifreleme protokolüyle gizleniyor. Enfekte sistemlerin donanım tanımlayıcıları, bellek özellikleri, disk verileri ve ağ bilgileri toplanarak iplogger[.]org gibi uç noktalara raporlanıyor; böylece operatörler proxy düğümlerinin kalitesini değerlendirebiliyor.

Gelişmiş Kaçınma Teknikleri

upStage Proxy olarak adlandırılan bu zararlı ailesi, tespit edilmekten kaçınmak için çok katmanlı teknikler kullanıyor. VMware, VirtualBox, QEMU ve Parallels gibi sanal makine ortamlarını tespit eden kontroller, hata ayıklama önleme mekanizmaları ve şüpheli DLL yükleme denetimleri bunların başında geliyor. Zararlı, çalıştığı ortamın bir analiz veya izleme ortamı olup olmadığını kontrol ederek gerçek bir kullanıcı sistemi olmadığına karar verirse faaliyetlerini durduruyor.

Ağ iletişimi tarafında ise DNS-over-HTTPS protokolü Google’ın çözümleyicisi üzerinden kullanılıyor; bu da geleneksel DNS izleme araçlarının trafiği görmesini zorlaştırıyor. Tüm komuta-kontrol trafiği Cloudflare altyapısı üzerinden TLS şifreli HTTPS oturumlarıyla iletiliyor. Kriptografik destek açısından AES, RC4, Camellia, Chaskey, XOR kodlama ve Base64 gibi algoritmalar kullanılıyor; bu da şifreli yapılandırma yönetimi ve trafik korumasına işaret ediyor.

Kampanya Sadece 7-Zip ile Sınırlı Değil

Malwarebytes’ın araştırması, bu operasyonun 7-Zip taklidinin çok ötesine geçtiğini ortaya koydu. Aynı taktik, teknik ve prosedürleri (TTP) kullanan ilişkili zararlı dosyalar; HolaVPN, TikTok, WhatsApp ve Wire gibi popüler uygulamaların yükleyicileri olarak da dağıtılıyor. upHola.exe, upTiktok, upWhatsapp ve upWire gibi isimlerle tespit edilen bu dosyaların hepsi aynı enfeksiyon modelini izliyor: SysWOW64 dizinine yerleşme, Windows hizmet kalıcılığı, netsh tabanlı güvenlik duvarı kuralı oluşturma ve ortak arka uç altyapısına bağlantı.

Ayrıca update.7zip[.]com/version/win-service/ adresinden bağımsız bir güncelleme kanalı da tespit edildi. Bu, zararlı yazılımın yükleyiciden bağımsız olarak uzaktan güncellenebileceği anlamına geliyor; yani operatörler yeni özellikler veya kaçınma teknikleri ekleyebiliyor.

Nasıl Korunabilirsiniz?

7zip[.]com adresinden herhangi bir yükleyici indirip çalıştıran kullanıcıların sistemlerini ele geçirilmiş kabul etmeleri gerekiyor. Malwarebytes gibi güvenlik yazılımları bu zararlının bilinen varyantlarını tespit edip kaldırabiliyor. Ancak yüksek riskli ortamlarda bazı kullanıcılar tam bir işletim sistemi yeniden kurulumunu tercih edebilir. Bireysel kullanıcılar için en temel önlem, yazılım indirirken alan adlarını dikkatle kontrol etmek. 7-Zip’in resmi adresi 7-zip.org’dur; 7zip.com değil. YouTube videoları veya arama motoru reklamlarındaki bağlantılara körü körüne güvenmemek büyük önem taşıyor.

Kurumsal ortamlarda ise yetkisiz Windows hizmetleri ve güvenlik duvarı kuralı değişikliklerinin izlenmesi, bilinen komuta-kontrol alan adlarının ve proxy uç noktalarının ağ çevresinde engellenmesi öneriliyor. Sık kullanılan yazılımların resmi indirme adreslerini yer imlerine eklemek, basit ama etkili bir koruma yöntemi olarak öne çıkıyor.

Sonuç

Bu kampanya, küçük bir alan adı farkının ne denli büyük güvenlik sonuçları doğurabileceğinin çarpıcı bir örneği. Saldırganlar, güvenilir yazılım markalarını taklit ederek ve YouTube eğitim videoları gibi meşru içerik ekosistemlerindeki küçük hataları istismar ederek geniş çaplı bir dağıtım ağı kurmuş durumda. Bağımsız güvenlik araştırmacıları Luke Acha, s1dhy ve Andrew Danis’in çalışmaları sayesinde gün yüzüne çıkan bu tehdit, yazılım indirme alışkanlıklarımızı sorgulatıyor. Tek bir yanlış tıklama, bilgisayarınızı farkında olmadan bir suç altyapısının parçası haline getirebilir.

Sıkça Sorulan Sorular

7-Zip’in resmi ve güvenli web adresi 7-zip.org’dur. 7zip.com adresi sahte bir site olup zararlı yazılım dağıtmaktadır. Yazılımı indirirken alan adını mutlaka kontrol edin.

Sahte yükleyici çalışan bir 7-Zip kurulumu gerçekleştirirken arka planda bilgisayarınızı konut proxy düğümüne dönüştüren zararlı bileşenler yüklüyor. İnternet trafiğiniz, bilginiz dışında üçüncü taraflarca yönlendirilebiliyor.

C:\Windows\SysWOW64\hero\ dizininde Uphero.exe, hero.exe ve hero.dll dosyalarının varlığını kontrol edin. Ayrıca Windows hizmetlerinde “hero” veya “uphero” adlı bilinmeyen servislerin olup olmadığına bakın.

Malwarebytes gibi güncel bir güvenlik yazılımıyla tam sistem taraması yapın. Bu yazılımlar zararlının bilinen varyantlarını kaldırabiliyor. Yüksek güvenlik gerektiren sistemlerde temiz bir işletim sistemi kurulumu daha güvenli bir seçenek olacaktır.

Hayır, aynı altyapı HolaVPN, TikTok, WhatsApp ve Wire gibi popüler uygulamaların sahte yükleyicilerini de dağıtıyor. Tüm bu sahte yükleyiciler aynı enfeksiyon modelini ve ortak komuta-kontrol altyapısını kullanıyor.

Etiketler :

7-ZipMalwarebytesproxywaresahte siteSiber GüvenlikZararlı Yazılım

Bir Yorum Yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Benzer Yazılar