Google Aramalarında Üst Sıralarda Yer Alan Sahte Açık Kaynak Araç Siteleriyle Malware Dağıtımı

Anasayfa » Google Aramalarında Üst Sıralarda Yer Alan Sahte Açık Kaynak Araç Siteleriyle Malware Dağıtımı
Saldırı Teknikleri, Siber Tehditler, Zararlı Yazılımlar
Haziran 4, 2026Haziran 4, 2026Tarafından Cybernews.TR
0
Google Aramalarında Üst Sıralarda Yer Alan Sahte Açık Kaynak Araç Siteleriyle Malware Dağıtımı

Son analizlere göre, açık kaynak kodlu güvenlik ve tersine mühendislik araçlarını taklit eden sahte web siteleri, Google arama sonuçlarında üst sıralarda yer alarak kullanıcıları zararlı yazılım dağıtım altyapısına yönlendiriyor. Bu kampanya, özellikle güvenilir araçlar arayan siber güvenlik uzmanları ve meraklıları hedef alıyor. Eylül 2025’ten itibaren aktif olduğu tespit edilen operasyon, Ocak 2026 itibarıyla zararlı yazılım yayılımına evrildi.

Saldırı Zinciri ve Teknik Detaylar

Sahte siteler, kullanıcıların ilk ziyaretinde CloudFront üzerinden barındırılan JavaScript tabanlı bir aşama katmanı yükleyerek, “İndir” butonuna tıklamayı bir Trafik Dağıtım Sistemi (TDS) aracılığıyla yönlendirme mekanizmasına dönüştürüyor. TDS, ilk ziyaret durumu, zorunlu tıklama onayı, bot ve analiz önleyici kontroller, VPN ve veri merkezi filtrelemesi ile erişim sıklığı sınırlaması gibi katmanlı güvenlik önlemleri uyguluyor. Bu sayede gerçek kullanıcılar ile otomatik analiz araçları ayrıştırılıyor.

Kampanyada taklit edilen araçlar arasında Ghidra, dnSpy ve SpiderFoot gibi popüler tersine mühendislik ve güvenlik araçları yer alıyor. Sahte siteler, gerçek GitHub bağlantılarını koruyarak hızlı görsel doğrulama sağlıyor ve kullanıcıları yanıltıyor. “İndir” butonunun üzerine gelindiğinde gerçek indirme URL’si görünerek meşruiyet hissi artırılıyor.

Yönlendirme zincirinde aynı IP’den tekrar tekrar giriş yapıldığında ise zararsız yazılımlar (örneğin Opera tarayıcı veya gereksiz tarayıcı eklentileri) indiriliyor. Ancak ilk başarılı yönlendirmede, aşağıdaki zararlı yazılımlar dağıtılıyor:

  • SessionGate: Çok aşamalı, karmaşık ve gizlenmiş bir yükleyici; potansiyel istenmeyen uygulamalar (PUA) dağıtırken sandbox ve analiz önleyici mekanizmalar kullanıyor.
  • Remus Stealer: Malware-as-a-Service (MaaS) modeliyle sunulan yeni bir bilgi hırsızı; 20’den fazla tarayıcı ve yüzlerce eklenti, kripto cüzdanları, iki faktörlü kimlik doğrulama araçları ve parola yöneticilerinden veri çalabiliyor. Lumma Stealer varyantı olduğu düşünülüyor.
  • AnimateClipper: Kripto para cüzdan adreslerini panoya kopyalama sırasında değiştirerek işlemleri ele geçiren bir clipper; ClickFix tuzağıyla dağıtılıyor.

Hedef Bölgeler ve Etki Alanları

VirusTotal verileri, SessionGate ailesine ait zararlı örneklerin Türkiye, Polonya, Brezilya, Almanya, Fransa, Rusya ve Birleşik Krallık başta olmak üzere 2.000-3.500 civarında gönderim aldığını gösteriyor. Bu durum, kampanyanın küresel ölçekte etkili olduğunu ortaya koyuyor.

Siber Güvenlik Ekipleri İçin Öneriler

  • EDR ve SIEM sistemlerinde TDS tabanlı yönlendirme ve tıklama tabanlı saldırıların tespiti için özel kurallar oluşturun.
  • İndirilen dosyaların dijital imzalarını ve hash değerlerini doğrulayarak sahte içeriklerin önüne geçin.
  • VPN ve veri merkezi kaynaklı trafik filtrelemesini sıkılaştırarak otomatik analiz araçlarının erişimini engelleyin.
  • Web trafiğinde anormal yönlendirme zincirlerini ve tıklama sonrası davranışları izleyin.
  • Kullanıcıları yalnızca resmi kaynaklardan araç indirmeleri konusunda bilinçlendirin ve e-posta güvenliği politikalarını güçlendirin.
  • Ağ segmentasyonu ile kritik sistemlerin doğrudan internete maruz kalmasını önleyin.
  • Olay müdahale süreçlerinde bu tür tıklama tabanlı saldırıların izlerini hızlıca analiz edin ve izolasyon adımlarını uygulayın.

Kampanyanın Teknik ve Operasyonel Bağlamı

Kullanılan TDS altyapısı, trafik yönlendirmede yüksek esneklik ve kontrol sağlıyor. Bu sistem, kullanıcıların davranışlarını analiz ederek gerçek kişilerle botları ayırıyor ve sadece seçilen hedeflere zararlı yazılım dağıtıyor. Bu yöntem, saldırganların tespit edilme riskini azaltırken, aynı zamanda reklam gelirleri ve trafik kazanımı için de kullanılıyor.

SessionGate’in çok aşamalı yükleyici yapısı, analiz ve tersine mühendislik çalışmalarını zorlaştırıyor. Son aşamada, şifrelenmiş konfigürasyon sunucusundan alınan bilgilerle zararlı yazılım indirilip, “cmd.exe” üzerinden sessizce çalıştırılıyor. Bu da saldırının tespitini güçleştiriyor.

Bu tür saldırılar, özellikle bulut güvenliği ve ağ segmentasyonu uygulamaları zayıf olan kurumlarda risk oluşturuyor. Ayrıca, kullanıcıların resmi olmayan kaynaklardan yazılım indirmemesi, e-posta güvenliği ve farkındalık eğitimlerinin önemi bir kez daha ortaya çıkıyor.

, , , , , , ,