Kuzey Kore durmuyor: Şimdi de sahte Zoom güncellemeleriyle saldırıyorlar

Kuzey Kore bağlantılı BlueNoroff isimli siber tehdit grubu, meşru video konferans uygulamalarını taklit ederek yeni bir oltalama (phishing) kampanyası başlattı. Bu kez hedefte, özellikle Zoom’u taklit eden sahte güncellemelerle kandırılan kullanıcılar var. Uzmanlara göre saldırı dalgası, Kuzey Amerika, Avrupa ve Asya-Pasifik bölgelerindeki kuruluşları hedef alıyor. Saldırının odak noktası ise oyun, eğlence ve finansal teknoloji sektörleri.

Bu yeni dolandırıcılık girişiminde saldırganlar, sahte bir Zoom SDK bakım süreci izlenimi veren kötü amaçlı bir AppleScript kullanıyor. Yüzeyde zararsız gibi görünen bu dosya, aslında içerisinde 10.000 boş satır barındırarak tehlikeli kodları gizliyor. Kritik komutlar, yalnızca 10.017 ve 10.018. satırlarda bulunuyor. Bu komutlar aracılığıyla, "zoom-tech[.]us" adında sahte bir alan üzerinden kötü amaçlı yazılım indiriliyor.

Zararlı yazılım sisteme bir kez bulaştığında, kendini kalıcı hale getirmek için macOS’un LaunchDaemon yapılandırmalarını kullanıyor. Böylece her sistem başlatıldığında arka planda çalışmaya devam ediyor. Sonrasında ise “icloud_helper” ve “Wi-Fi Updater” gibi sistem bileşenleri gibi görünen ek modüller indiriliyor. Bu modüller, hem sistemde iz bırakmamak hem de uzaktan komut alarak arka kapı oluşturmak amacıyla geliştirilmiş.

BlueNoroff’un kullandığı bu yöntemler, özellikle uzaktan çalışmanın yaygın olduğu ortamlarda sıkça karşılaşılan yüzeysel IT müdahalelerinden faydalanıyor. Zararlı yazılım, sıradan bir bakım dosyası gibi davranarak güvenlik sistemlerinden kolayca sıyrılabiliyor.

Hedef: Kimlik bilgileri ve kripto varlıklar

BlueNoroff’un amacı sadece sistemlere sızmak değil. Gelişmiş casus yazılım, kullanıcıların kimlik bilgilerini, tarayıcı şifrelerini, kimlik doğrulama anahtarlarını ve özellikle kripto para cüzdanlarına ait uzantıları hedef alıyor. Bu da grubun geçmişteki saldırılarında olduğu gibi yine finansal kazanç elde etmeye yönelik hareket ettiğini gösteriyor.

Bu saldırıların somut örneklerinden biri Mayıs ayında yaşandı. Kanadalı bir çevrim içi kumar şirketi, sahte bir Zoom sorun giderme betiği aracılığıyla hedef alındı. Şirketin sistemine sızan zararlı yazılım, tespit edilmeden uzun süre aktif kaldı ve hassas verilerin dışarı sızmasına yol açtı.

Uzmanlar, bu tür saldırıların giderek daha sofistike hale geldiğine dikkat çekiyor ve özellikle uzaktan çalışan ekipleri, yazılım güncellemeleri konusunda ekstra dikkatli olmaları için uyarıyor. Gerçek yazılım sağlayıcılar tarafından sunulmayan dosyaların çalıştırılmaması ve dijital imzaların mutlaka kontrol edilmesi gerektiği vurgulanıyor.