Geçtiğimiz yıl dünya genelindeki kolluk kuvvetlerinin operasyonuyla altyapısı büyük ölçüde çökertilen Lumma adlı zararlı yazılım, artık daha zor tespit edilen ve kullanıcıları kolayca kandıran yeni yöntemlerle geri döndü. Bu zararlı yazılım, Windows bilgisayarlarda hassas verileri ve kimlik bilgilerini çalmaya devam ediyor.
İlk olarak 2022 yılında Rusça konuşulan siber suç forumlarında ortaya çıkan Lumma Stealer, bulut tabanlı zararlı yazılım hizmeti modeliyle geniş bir etki alanına ulaşmıştı. Ücretsiz korsan yazılım, oyun ve film vaat eden sahte web siteleri, komuta-kontrol sunucuları ve siber suçluların ihtiyaç duyabileceği her şeyi sunuyordu. Premium sürümleri 2.500 dolara kadar çıkan bu zararlı yazılım, geçtiğimiz yıla kadar birçok suç örgütünün bir numaralı tercihi haline gelmişti.
Operasyonların Zorlukları
Geçtiğimiz yılın başlarında FBI ve uluslararası ortaklarının yürüttüğü başarılı operasyonla binlerce alan adı, komuta-kontrol altyapısı ve suç pazaryeri çökertilmişti. Ancak güvenlik firması Bitdefender'ın araştırmacıları, zararlı yazılımın hızla altyapısını yeniden kurarak dünya çapında yeniden yayılmaya başladığını duyurdu.
Lumma'nın bu yeni yükselişi, özellikle "ClickFix" adı verilen bir sosyal mühendislik tekniğine dayanıyor. Bu yöntemde kullanıcılar, aldatıcı bir şekilde sunulan sahte CAPTCHA'lar aracılığıyla kandırılıyor. Normalde güvenlik doğrulaması yapmak yerine, kullanıcıdan belirli metinleri kopyalayıp bir arayüze yapıştırması isteniyor. Bu metinler aslında zararlı komutları içeriyor ve kullanıcı bu komutları Windows terminaline yapıştırdığında, sistemine öncelikle CastleLoader adlı ayrı bir zararlı yazılım yükleniyor.
CastleLoader, yalnızca bellekte çalıştığı için tespiti oldukça zor olan bir zararlı yazılımdır. Kodu karmaşık bir şekilde gizlenmiş olduğundan, zararlı tarayıcılar tarafından bile fark edilmesi güçleşiyor. Ayrıca, kullanıcıların özel ihtiyaçlarına göre uyarlanabilen esnek bir komuta-kontrol iletişim mekanizması sunuyor.
CastleLoader, Lumma'nın yeniden inşa edilen altyapısını paylaşıyor, bu da operatörlerin birlikte çalıştığını veya en azından faaliyetlerini koordine ettiğini gösteriyor. Bazı durumlarda ise Lumma, Steam Workshop ve Discord gibi güvenilir platformların dosya paylaşım özelliklerini kullanarak daha az şüphe uyandırıyor. Her iki durumda da, yükleyici zararlı yazılım çalıştırıldıktan sonra, sisteme sızarak savunmaları zayıflatıyor ve ardından ikinci aşama yüklemesi olan Lumma'yı devreye sokuyor.
ClickFix Tuzağına Düşmek Çok Kolay
Kullanıcılar, karmaşık CAPTCHA'lara alıştıkları için, bir web sitesinden metin kopyalayıp belirli tuşlara basma talimatını genellikle sorgulamıyor. Bu basit eylem sonrasında Lumma, bilgisayardaki birçok hassas veriye erişim sağlıyor. Bitdefender'a göre çalınan veriler arasında şunlar bulunuyor:
- Web tarayıcılarında kayıtlı kimlik bilgileri
- Çerezler
- Kişisel belgeler (.docx, .pdf vb.)
- Finansal bilgiler, gizli anahtarlar (bulut anahtarları dahil), 2FA yedek kodları, sunucu şifreleri, kripto para cüzdanı verileri ve özel anahtarlarını içeren hassas dosyalar
- TC kimlik numarası, adres, tıbbi kayıtlar, kredi kartı numaraları ve doğum tarihleri gibi kişisel veriler
- MetaMask, Binance, Electrum, Ethereum, Exodus, Coinomi, Bitcoin Core, JAXX ve Steem Keychain gibi popüler hizmetlerle ilişkili kripto para cüzdanları ve tarayıcı eklentileri
- AnyDesk ve KeePass gibi uzak erişim araçları ve şifre yöneticilerinden alınan veriler
- Authenticator, Authy, EOS Authenticator, GAuth Authenticator ve Trezor Password Manager gibi iki faktörlü kimlik doğrulama (2FA) token'ları ve eklentileri
- VPN'ler (.ovpn dosyaları), çeşitli e-posta istemcileri (Gmail, Outlook, Yahoo) ve FTP istemcilerinden alınan bilgiler
- İşletim sistemi sürümü (Windows 7'den Windows 11'e), sistem yereli, yüklü uygulamalar, kullanıcı adı, donanım kimliği ve ekran çözünürlüğü gibi sistem meta verileri
Bitdefender, ClickFix'in etkinliğinin teknik zayıflıklardan ziyade, kullanıcıların prosedürel güvenlerini istismar etmesinden kaynaklandığını belirtiyor. Talimatlar, kullanıcıların daha önce karşılaşmış olabileceği sorun giderme adımlarına veya doğrulama yöntemlerine benzediği için, mağdurlar kendi sistemlerinde rastgele kod çalıştırdıklarını fark etmeyebiliyorlar.
Lumma şu anda yalnızca Windows kullanıcılarını hedef alırken, benzer tekniklerin macOS sistemlerini de etkilediği biliniyor. Bu tür saldırılara karşı en iyi savunma, ücretsiz olduğu iddia edilen sitelerden uzak durmaktır. Ayrıca, Windows ve macOS'ta komut terminallerinin şifre ile korunması gibi ek güvenlik önlemleri de alınabilir.
