Son dönemde, otel sektörünü hedef alan büyük ölçekli bir kimlik avı saldırısı, PureRAT adlı gelişmiş bir uzaktan erişim truva atı (RAT) kullanılarak gerçekleştiriliyor. Saldırganlar, ele geçirilmiş e-posta hesapları üzerinden Booking.com ve Expedia gibi popüler rezervasyon platformlarını taklit eden kimlik avı e-postaları gönderiyor. Bu e-postalar, kurbanları “ClickFix” adlı sosyal mühendislik taktiğiyle sahte reCAPTCHA doğrulaması içeren zararlı web sayfalarına yönlendiriyor ve burada PureRAT zararlısı sistemlere yükleniyor.

Saldırı Zinciri ve Teknik Detaylar

Kampanya, Nisan 2025’ten beri aktif olup Ekim 2025 başı itibarıyla devam ediyor. Saldırganlar, ele geçirilen e-posta hesaplarından farklı ülkelerdeki otellere hedefli mesajlar gönderiyor. Kurbanlar, bağlantıya tıkladıklarında iframe içinde asenkron JavaScript kontrolleriyle HTTP protokolüne yönlendirilerek, kötü amaçlı PowerShell komutlarını çalıştırmaya ikna ediliyor. Bu komutlar, ZIP arşivi indirip açıyor ve DLL yan yükleme yöntemiyle PureRAT (zgRAT) modülünü sisteme kalıcı olarak yerleştiriyor.

PureRAT, .NET Reactor ile tersine mühendislikten korunmuş modüler bir zararlı yazılım. Uzaktan erişim, fare ve klavye kontrolü, webcam ve mikrofon kaydı, tuş kaydı, dosya transferi, trafik proxyleme ve veri sızdırma gibi kapsamlı yeteneklere sahip. Ayrıca, sistemde Run kayıt anahtarı oluşturarak kalıcılık sağlıyor. Bu zararlı, MCP istemcisi ve AsyncRAT gibi RAT çözümlerine benzer şekilde, komut ve kontrol sunucularıyla asenkron iletişim kuruyor ve Pydantic AI destekli bazı analiz bileşenleriyle donatılmış olabilir.

Rezervasyon Platformu Hesaplarının Suistimali

Saldırının nihai hedefi, Booking.com ve Expedia gibi platformların otel yöneticilerine ait hesap bilgilerini ele geçirmek. Bu kimlik bilgileri, siber suç forumlarında satışa sunuluyor veya otel müşterilerine yönelik sahte rezervasyon iptali e-postalarında kullanılıyor. Saldırganlar, LolzTeam gibi yeraltı forumlarından otel yöneticisi verilerini temin ediyor ve bu bilgileri “traffers” adı verilen uzmanlara zararlı yazılım dağıtımı için dış kaynak olarak veriyor.

Telegram botları ve “moderator_booking” adlı aktörler aracılığıyla, Booking.com, Expedia, Airbnb ve Agoda hesap günlükleri 24-48 saat içinde manuel olarak doğrulanıyor. Bu süreçte proxy tabanlı kimlik doğrulama araçları kullanılarak hesapların geçerliliği kontrol ediliyor ve günlük kontrol araçları 40 dolardan başlayan fiyatlarla satılıyor. Bu profesyonel hizmet modeli, saldırı zincirinin her aşamasını destekleyerek dolandırıcılık faaliyetlerinin ölçeğini ve etkinliğini artırıyor.

ClickFix Sosyal Mühendislik Taktiklerinde Yenilikler

Push Security tarafından yapılan analizler, ClickFix sayfalarının giderek daha sofistike hale geldiğini gösteriyor. Gömülü video, geri sayım sayacı ve “son bir saatte doğrulanan kullanıcılar” sayacı gibi öğeler, sayfanın inandırıcılığını artırıyor. Ayrıca, kurbanın işletim sistemine göre otomatik talimat gösterme özelliği bulunuyor; Windows kullanıcılarına Çalıştır penceresi, macOS kullanıcılarına Terminal açmaları öneriliyor. Panoya kötü amaçlı kodun otomatik kopyalanması (clipboard hijacking) teknikleri de kullanılıyor.

Bu gelişmeler, ClickFix zararlılarının güvenlik önlemlerinden kaçmak için yeni yöntemler geliştirdiğini ve sosyal mühendislik tuzaklarının etkinliğini artırdığını ortaya koyuyor. Ayrıca, konteyner tabanlı saldırı altyapılarında rastgele SSH portları kullanımı gibi teknik önlemlerle saldırıların tespiti zorlaştırılıyor.

Analiz ve Öneriler

Bu kampanya, sektörel hedefli saldırıların ne denli karmaşık ve profesyonel hale geldiğini gösteriyor. Booking.com gibi platformların extranet hesapları, otelcilik sektöründe kritik bir güvenlik açığı olarak öne çıkıyor. Siber suçlular, bu hesapları infostealer günlüklerinden elde edilen kimlik doğrulama çerezleri veya kullanıcı adı/şifre çiftleriyle takas ediyor. Bu durum, sistemlerin zararlı yazılımlarla enfekte olmasının yaygınlığını da ortaya koyuyor.

Güvenlik ekiplerinin, e-posta güvenliği, çok faktörlü kimlik doğrulama ve kullanıcı eğitimine öncelik vermesi gerekiyor. Ayrıca, zararlı yazılım tespiti için davranışsal analiz ve sandboxing tekniklerinin kullanılması, PureRAT gibi modüler RAT’ların etkisini azaltabilir. Siber suç forumları ve Telegram botları üzerinden yürütülen hesap doğrulama ve satış işlemlerinin takibi, tehdit istihbaratının önemli bir parçası olmalı.

Sonuç olarak, ClickFix kimlik avı kampanyası, sosyal mühendislik ve teknik zararlı yazılım dağıtımının birleştiği karmaşık bir tehdit modeli sunuyor. Sektör paydaşlarının iş birliği ve gelişmiş güvenlik önlemleriyle bu tür saldırıların etkisi azaltılabilir.

Daha fazla gönderi

Aralık 25, 2025Aralık 25, 2025

INTERPOL Afrika’da 574 Kişiyi Tutukladı; Ukraynalı Nefilim Fidye Yazılımı Operatörü Suçunu Kabul Etti

INTERPOL öncülüğünde Afrika kıtasında düzenlenen Sentinel Operasyonu kapsamında 574 kişi tutuklandı, 6.000'den fazla zararlı bağlantı kaldırıldı ve çeşitli fidye yazılımı saldırıları engellendi. Öte yandan, Ukraynalı bir siber suçlu, Nefilim fidye yazılımı kullanarak ABD ve diğer ülkelerdeki şirketlere yönelik saldırılarını kabul etti. Bu gelişmeler, fidye yazılımı tehditlerinin küresel boyutta de

Daha Fazla Oku

Aralık 25, 2025Aralık 25, 2025

14 Milyon Dolarlık Yapay Zeka Temalı Kripto Dolandırıcılığına SEC Müdahalesi

ABD Menkul Kıymetler ve Borsa Komisyonu (SEC), yapay zeka temalı yatırım tüyolarıyla perakende yatırımcılardan 14 milyon dolardan fazla para toplayan karmaşık bir kripto dolandırıcılığı operasyonunu ortaya çıkardı. Sosyal medya ve mesajlaşma uygulamalarında kurulan sahte yatırım kulüpleri ve kripto platformları üzerinden yürütülen bu dolandırıcılık, yatırımcıların fonlarına erişim sağlanmadan önce

Daha Fazla Oku

Aralık 20, 2025Aralık 20, 2025

Kuzey Kore Bağlantılı Lazarus Grubu 2025’te 2 Milyar Dolarlık Kripto Hırsızlığıyla Öne Çıktı

2025 yılında Kuzey Kore destekli Lazarus Grubu, küresel kripto para hırsızlıklarında yaklaşık 2,02 milyar dolar çalarak önemli bir artış gösterdi. Saldırılar, Bybit ve Upbit gibi büyük borsaları hedef alırken, karmaşık aklama teknikleri ve sosyal mühendislik kampanyalarıyla destekleniyor. Siber güvenlik uzmanları, bu gelişmelerin kripto sektöründe artan iç tehditlere ve gelişmiş saldırı zincirleri

Daha Fazla Oku

Aralık 20, 2025Aralık 20, 2025

APT28’in UKR-net Kullanıcılarına Yönelik Kimlik Avı Kampanyasında Yeni Yöntemler

APT28 grubunun Ukrayna merkezli UKR-net webmail kullanıcılarını hedef alan kimlik bilgisi avı kampanyası, 2024'ün ikinci yarısından itibaren gelişmiş yönlendirme teknikleri ve proxy tünelleme servisleri kullanılarak devam ediyor. Bu saldırılar, özellikle iki faktörlü kimlik doğrulama kodlarını da hedef alarak, siber güvenlik profesyonelleri için önemli bir tehdit oluşturuyor.

Daha Fazla Oku

P	S	Ç	P	C	C	P
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30	31