GhostAd Reklam Yazılımı, macOS GlassWorm Kampanyası ve Yeni Proxy Botnet Tehditleri

Anasayfa » GhostAd Reklam Yazılımı, macOS GlassWorm Kampanyası ve Yeni Proxy Botnet Tehditleri
APT, Botnet, Mobil Güvenlik
Ocak 2, 2026Ocak 2, 2026Tarafından Cybernews.TR
1
GhostAd Reklam Yazılımı, macOS GlassWorm Kampanyası ve Yeni Proxy Botnet Tehditleri

GhostAd ve SkyWalk: Mobil Cihazlarda Gizli Reklam Dolandırıcılığı

GhostAd kampanyası, Google Play’de yer alan ve milyonlarca kez indirilen en az 15 Android uygulaması aracılığıyla arka planda sessizce kaynak tüketiyor. Bu zararlı reklam yazılımı, cihaz yeniden başlatılsa bile JobScheduler ile reklam yükleme görevlerini tetikleyerek kalıcı arka plan reklam motoru oluşturuyor. Filipinler, Pakistan ve Malezya başta olmak üzere bölgelerde yoğunlaşan saldırılar, Pangle, Vungle, MBridge, AppLovin ve BIGO gibi meşru reklam SDK’larını kötüye kullanıyor. Benzer şekilde iOS platformunda SkyWalk adlı dolandırıcılık şeması, masum görünen oyun uygulamalarını kullanarak görünmez tarayıcı pencerelerinde sahte reklam gösterimleri yapıyor ve reklamverenleri faturalandırıyor.

GlassWorm: macOS İçin Yeniden Tasarlanmış Tedarik Zinciri Saldırısı

GlassWorm kampanyası, Open VSX pazarında macOS kullanıcılarını hedefleyen üç şüpheli tarayıcı uzantısı aracılığıyla 50.000 indirme aldı. Bu uzantılar, 50’den fazla kripto cüzdanı hedefleyerek fon çalmaya yönelik tasarlandı. AES-256-CBC şifrelemesiyle gizlenen JavaScript payload, Solana ağından komutlar alıyor ve donanım cüzdan uygulamalarının trojanlanmış sürümleriyle değiştirilmesini amaçlıyor. AppleScript tabanlı kalıcılık mekanizması ve iCloud Keychain ile geliştirici kimlik bilgilerini hedefleyen bu saldırı, kripto para ve Web3 ekosisteminde macOS cihazların risk altında olduğunu gösteriyor.

IPCola Proxy Botnet: 1,6 Milyon Cihazdan Oluşan Yeni Ağ

IPCola proxy ağı, 100’den fazla ülkeden IoT, masaüstü ve mobil cihazlardan oluşan 1,6 milyondan fazla benzersiz IP adresi sunuyor. KYC gerektirmeyen bu platform, kullanıcıların konut, veri merkezi ve ISS proxyleri satın almasına olanak tanıyor. Altyapısı GaGaNode adlı merkeziyetsiz bant genişliği para kazanma servisi tarafından destekleniyor ve SDK aracılığıyla herhangi bir cihazda uzaktan kod yürütme (RCE) tehdidini artırıyor. Çin merkezli NuoChen şirketiyle bağlantılı olduğu değerlendirilen IPCola, küresel çapta proxy botnet tehditlerini büyütüyor.

Teknik Özet: Öne Çıkan Saldırı Vektörleri ve Araçlar

  • GhostAd: Android uygulamaları üzerinden kalıcı arka plan reklam motoru, JobScheduler ile görev tetikleme, Kotlin coroutines kullanımı.
  • GlassWorm: macOS için tedarik zinciri saldırısı, AES-256-CBC şifreli JavaScript payload, AppleScript tabanlı kalıcılık, iCloud Keychain ve geliştirici token hırsızlığı.
  • IPCola Proxy Ağı: Merkeziyetsiz bant genişliği paylaşımı, SDK ile çapraz platform RCE, KYC gerektirmeyen proxy satışı.

Siber Güvenlik Ekipleri İçin Öneriler

  • Mobil cihazlarda anormal pil ve veri kullanımı için davranış tabanlı izleme ve EDR çözümleri uygulayın.
  • macOS sistemlerde şüpheli tarayıcı uzantılarını düzenli olarak denetleyin ve AppleScript tabanlı kalıcılık yöntemlerine karşı önlemler alın.
  • Proxy ağlarından gelen trafiği SIEM sistemleriyle analiz ederek olağan dışı bağlantıları tespit edin.
  • Uygulama mağazalarından indirilen yazılımların izinlerini ve SDK bileşenlerini dikkatle inceleyin.
  • Bulut ortamlarında IAM erişim anahtarlarının kullanımını kısıtlayarak geçici kimlik bilgileri ve MFA uygulayın.

Kurumsal Senaryo: Finans Sektöründe Riskler

Bir finans kurumunda GlassWorm benzeri tedarik zinciri saldırısı, çalışanların macOS cihazlarındaki kripto cüzdanlarını hedef alabilir. Trojanlanmış uzantılar, kritik geliştirici tokenlarını çalarak kaynak koduna ve müşteri verilerine erişim sağlayabilir. Aynı zamanda IPCola proxy ağı üzerinden gelen kötü niyetli trafik, kurumun ağ segmentasyonunu aşarak iç sistemlere sızma girişimlerine zemin hazırlayabilir. Bu durum, olay müdahale süreçlerinin hızla devreye alınmasını ve IAM politikalarının sıkılaştırılmasını gerektirir.

Alınabilecek Önlemler

  • Uygulama mağazalarından indirilen yazılımların davranışlarını sürekli izleyin ve anormal aktiviteleri tespit edin.
  • macOS cihazlarda uzantı izinlerini sıkılaştırın ve bilinmeyen kaynaklardan gelen uzantıları engelleyin.
  • Proxy ve VPN trafiğini detaylı loglayarak SIEM sistemlerinde analiz edin.
  • IAM erişim anahtarlarının kullanım ömrünü kısaltın ve geçici roller ile federasyon kullanımı tercih edin.
  • Çalışanlara yönelik e-posta güvenliği farkındalığı eğitimi vererek sosyal mühendislik saldırılarını azaltın.
, , , , , , ,