Siber suçlular artık sadece sistemlere sızmakla kalmıyor, aynı zamanda onları karmaşık yöntemlerle kontrol altına alıyor. Güvenilir uygulamaların içine gizlenip, gerçek web sitelerinin kopyalarını oluşturarak kullanıcıların farkında olmadan kontrolü ele geçirmeleri, saldırıların boyutunu ve karmaşıklığını artırıyor. Bu haftaki ThreatsDay bülteninde, suçluların gelişen taktikleri, savunma mekanizmalarının zayıflıkları ve dijital dünyada yaşanan önemli olaylar ele alınıyor.
15 Milyar Dolarlık Kripto Varlığına El Konuldu
ABD Adalet Bakanlığı, Güneydoğu Asya’da zorla çalıştırma kampüslerinden yönetilen ve “pig butchering” olarak bilinen romantik tuzak dolandırıcılığıyla 15 milyar dolar değerinde yaklaşık 127.271 bitcoin ele geçirdi. Prince Group ve CEO’su Chen Zhi’nin liderliğindeki bu suç ağı, mağdurları uzun süreli güven ilişkisi kurarak fonlarını çalıyor ve lüks varlıklara yatırım yapıyordu. ABD ve İngiltere, bu grubu ulusötesi suç örgütü ilan ederek yaptırımlar uyguladı.
WhatsApp Solucanı Maverick ile Brezilya Bankaları Hedefte
Kaspersky tarafından keşfedilen Maverick banka truva atı, Brezilya’da WhatsApp üzerinden yayılıyor. Coyote ile benzer kod yapısına sahip bu kötü amaçlı yazılım, enfekte cihazlarda kullanıcıların banka, kripto borsa ve ödeme platformlarına erişimini izleyerek kimlik bilgilerini çalıyor. Ayrıca ekran görüntüsü alma, tuş kaydedici ve fare kontrolü gibi gelişmiş yeteneklere sahip.
Şifrelenmemiş Uydu Trafiği Kritik Verileri Açığa Çıkarıyor
Maryland ve Kaliforniya üniversitelerinden araştırmacılar, tüketici sınıfı uydu antenleriyle ABD askeri ve kurumsal uydu iletişimlerinin şifrelenmeden dinlenebildiğini ortaya koydu. Mobil çağrılar, SMS’ler, VoIP sesleri ve devlet sırları gibi hassas veriler, birkaç yüz dolarlık donanımla erişilebilir durumda. Bu açıklamanın ardından T-Mobile uydu iletişimlerini şifrelemeye başladı.
Legacy Windows Protokolleri Kimlik Bilgisi Hırsızlığına Zemin Hazırlıyor
NetBIOS Name Service (NBT-NS) ve Link-Local Multicast Name Resolution (LLMNR) gibi eski Windows protokolleri, kimlik doğrulama olmadan yanıt kabul ettikleri için saldırganların aynı alt ağdaki sistemlerden kimlik bilgisi çalmasına olanak tanıyor. Resecurity, bu protokollerin devre dışı bırakılması ve Kerberos gibi güvenli yöntemlerin tercih edilmesini öneriyor.
Unity Web Sitesine Skimmer Enjeksiyonu
Unity Technologies’e ait SpeedTree ödeme sayfasına yerleştirilen kötü amaçlı skimmer, kullanıcıların isim, adres, e-posta ve ödeme kartı bilgilerini çalmak için tasarlandı. İhlal 26 Ağustos 2025’te keşfedildi ve yaklaşık 428 kişi etkilendi. Etkilenenlere ücretsiz kredi izleme ve kimlik koruma hizmetleri sunuluyor.
ABD’de Smishing Saldırıları Milyar Dolarlık Kazanç Sağlıyor
Çinli suç gruplarının ABD’de paket teslimatı ve ücretli yol ödemeleri hakkında sahte SMS mesajlarıyla yürüttüğü smishing kampanyaları, son üç yılda 1 milyar dolardan fazla gelir elde etti. Bu saldırılar, SIM çiftlikleri aracılığıyla milyonlarca mesaj gönderiyor ve mağdurların kredi kartı bilgilerini çalarak yetkisiz alışverişlerde kullanıyor.
Mac Kullanıcıları Sahte Homebrew Siteleriyle Hedefleniyor
macOS kullanıcılarını hedef alan saldırılar, homebrewfaq[.]org gibi sahte Homebrew yükleyici siteleri üzerinden gerçekleştiriliyor. Kullanıcılar, resmi brew[.]sh sayfasının kopyalarını kullanırken gizli JavaScript komutlarıyla zararlı yazılımlar indiriyor. Bu kampanyalar Odyssey Stealer gibi veri çalan kötü amaçlı yazılımların dağıtımında kullanılıyor.
İngiltere Ulusal Siber Güvenlik Merkezi’nden Ulus-Devlet Saldırı Uyarısı
İngiltere Ulusal Siber Güvenlik Merkezi (NCSC), Eylül 2024-Ağustos 2025 arasında 204 ulusal önemde siber olay rapor etti. Çinli devlet aktörlerinin İngiltere hükümetinin gizli sistemlerine yönelik uzun süredir devam eden saldırıları, hükümet belgeleri ve diplomatik iletişimlerin sızmasına neden oldu.
Framework Linux Sistemlerinde BombShell Firmware Açıkları
Framework tarafından üretilen yaklaşık 200.000 Linux cihazda, Secure Boot korumasını atlatmaya imkan veren imzalı UEFI kabuk bileşenleri bulundu. Eclypsium tarafından tespit edilen BombShell açıkları, işletim sistemi yeniden yüklense bile bootkitlerin kalıcı olmasına olanak sağlıyor. Framework, güncellemelerle bu açıkları kapattı.
Kolombiya’da AsyncRAT Phishing Kampanyası
Kolombiya’daki kullanıcılar, mahkeme sisteminden geliyormuş gibi görünen sahte e-postalarla hedefleniyor. SVG dosya ekleriyle başlayan saldırı zinciri, AsyncRAT’ın dağıtımını sağlayan çok aşamalı kötü amaçlı yazılım sürecini tetikliyor.
Google Mesajlar ve Hesap Kurtarmada Yeni Güvenlik Önlemleri
Google, spam mesajlarda paylaşılan bağlantılara erişimi kısıtlayan ve “Mobil Numara ile Giriş” gibi yeni hesap kurtarma yöntemleri sunan güvenlik özelliklerini devreye aldı. Ayrıca, kullanıcıların iletişim kurdukları kişilerin kimliklerini doğrulamalarını sağlayan Key Verifier özelliği Android 10 ve üzeri cihazlarda aktif edildi.
PhantomVAI Loader ile Çok Sektörlü Phishing Kampanyaları
Palo Alto Networks Unit 42, PhantomVAI Loader adlı C# tabanlı kötü amaçlı yazılım yükleyicisinin, üretimden sağlığa birçok sektörü hedef alan phishing e-postalarıyla dağıtıldığını açıkladı. Yükleyici, process hollowing ve sanal makine tespiti gibi tekniklerle kalıcılık sağlıyor ve AsyncRAT, XWorm gibi zararlıları bırakıyor.
Whisper 2FA Phishing Kiti 1 Milyon Saldırıya İmza Attı
Barracuda, Microsoft hesaplarını hedef alan yaklaşık 1 milyon Whisper 2FA saldırısı tespit etti. AJAX tabanlı gerçek zamanlı kimlik bilgisi sızdırma döngüsü sayesinde çok faktörlü kimlik doğrulama jetonları defalarca çalınıyor. Güvenlik uzmanları, katmanlı savunma stratejilerinin önemine vurgu yapıyor.
Scattered Lapsus$ Grubu Geçici Olarak Faaliyetlerini Durdurdu
İngilizce konuşan gençlerden oluşan Scattered Lapsus$ Hunters, FBI’ın clearnet veri sızıntı sitesine müdahalesinin ardından 2026’ya kadar sessiz kalacağını açıkladı. Grup, daha önce Qantas, GAP ve Fujifilm gibi şirketlerden veri sızdırdı.
RMM Araçları Siber Saldırılarda Kötüye Kullanılıyor
Gelişmiş tehdit aktörleri ve fidye yazılım grupları, ConnectWise ScreenConnect ve benzeri uzak izleme ve yönetim (RMM) platformlarını sistemlere kalıcılık sağlamak ve yatay hareket etmek için kullanıyor. Bu durum, meşru araçların yüksek değerli hedeflere yönelik saldırılarda araç haline gelmesine neden oluyor.
Alman ve Bulgar Yetkililerden Sahte Kripto Borsalarına Operasyon
1.400’den fazla sahte kripto para ticaret platformu alan adına el koyuldu. Bu siteler, kullanıcıları yatırım yapmaya teşvik ederek fonları çalıyordu. Operasyon sonrası 10 gün içinde 866.000’den fazla erişim denemesi kaydedildi.
NVIDIA Linux GPU Sürücülerindeki Kernel Açıkları Giderildi
NVIDIA, Linux Display Driver’daki iki kritik kernel açığını kapattı. Bu açıklar, yerel ayrıcalıksız saldırganların kernel seviyesinde okuma ve yazma yetkisi elde etmesine imkan tanıyordu. Quarkslab tarafından keşfedilen açıklar için proof-of-concept exploit yayımlandı.
Yeni Android RAT Aileleri: GhostBat ve HyperRat
Cyble ve iVerify, GhostBat ve HyperRat adlı iki yeni Android RAT ailesini detaylandırdı. HyperRat, VNC oturumu başlatma ve SMS gönderme gibi gelişmiş özelliklere sahipken, GhostBat özellikle Hindistan’da WhatsApp ve SMS yoluyla dağıtılıyor ve banka kimlik bilgilerini hedefliyor.
Brezilya’da 540 Milyon Dolarlık Kripto Aklama Ağı Çökertildi
Lusocoin operasyonunda 13 arama, 11 tutuklama ve çok sayıda lüks mal varlığı ele geçirildi. Ağ, yasa dışı gelirleri kripto varlıklara dönüştürerek 9 milyar dolardan fazla para hareket ettirdiği tahmin ediliyor.
AWS X-Ray Komut-Kontrol Sunucusu Olarak Kullanılıyor
Güvenlik araştırmacısı Dhiraj Mishra, AWS X-Ray servisinin kötü amaçlı komut-kontrol (C2) sunucusu olarak kullanılabileceğini gösterdi. Saldırganlar, Base64 kodlu komutları X-Ray notları olarak gönderip alarak hedef sistemleri kontrol ediyor.
Adobe Experience Manager’da Kritik Güvenlik Açıkları
Adobe Experience Manager’da yedi güvenlik açığı keşfedildi ve yamalandı. Bu açıklar, yetkisiz okuma ve yazma erişimine neden olabiliyordu. Şu ana kadar aktif istismar rapor edilmedi.
Google Biyometrik Veri İhlali Davasında Uzlaşma Sağladı
Google, Illinois eyaletinde Diversity in Faces veri setini biyometrik tanıma için kullanması nedeniyle açılan BIPA ihlali davasında uzlaşmaya vardı. Veri seti, IBM tarafından 2019’da oluşturulmuştu ve bazı görüntüler Illinois’den kişilere ait biyometrik veriler içeriyordu.
Suçla Bağlantılı Kripto Varlıklar 75 Milyar Doları Aştı
Chainalysis raporuna göre, yasa dışı faaliyetlerle bağlantılı kripto para bakiyeleri 75 milyar doları geçti. Bu tutarın 15 milyar doları doğrudan suç varlıklarına, kalan 60 milyar dolar ise dolaylı maruziyete ait. Darknet pazar yöneticileri zincir üstü değerin büyük kısmını kontrol ediyor.
Günümüz siber tehditleri, sadece cihazlara değil, insanlara ve dijital güvene yönelik karmaşık saldırılar içeriyor. Bu nedenle, savunmaların sürekli gelişmesi ve kullanıcı farkındalığının artırılması kritik önem taşıyor.