8 Nisan'dan bu yana üreticinin web sitesinden Daemon Tools Lite'ı indiren herkes, bilgisayarlarına kötü amaçlı yazılım yüklemiştir. Yükleyiciler resmi dijital sertifikalarla imzalanmıştır ve başlangıçta göze çarpmaz görünmektedir. Görünüşe göre bu bir tedarik zinciri saldırısı.
Reklamdan sonra devamını okuyun
Kaspersky virüs analistleri virüslü yükleyicileri keşfetti. Araştırmalarında, yükleyicilerin 8 Nisan 2026'dan bu yana Truva Atı'na bulaştığını ve bunun mevcut indirmelere kadar devam ettiğini belirtiyorlar. BT araştırmacıları Mayıs ayının başında bununla karşılaştılar ve daha sonra virüs bulaşmış eski yükleyicileri tespit edebildiler. Daemon Tools ve Daemon Tools Lite'ın 12.5.0.2421 sürümünden 12.5.0.2434 sürümüne kadar olan yükleyicileri etkilenir. VirusTotal'daki Lite yükleyicisinin 12.5.0.233b sürümünün analizi, Kaspersky'nin (HEUR:Trojan.Win64.Agent.gen) buluşsal tespitiyle, şu anda resmi Daemon Tools web sitesinden indirilebilen dosyalara bulaştığını doğruladı (dikkat, rapor sırasında hâlâ Truva Atı olan indirmeler mevcuttu!). Kaspersky, Daemon Tools'un üreticisi AVB Disc Soft ile temasa geçti ancak görünüşe göre şu ana kadar başarısız oldu.
Kötü amaçlı yazılım analizine dayanarak BT araştırmacıları, saldırganları Çince konuşanlar olarak sınıflandırıyor. Kaspersky sensörlerinden alınan telemetri, 100'den fazla ülkeden kişi ve kuruluşların, virüslü bir sürümdeki ISO görüntüleri gibi disk görüntülerini işlemek için yazılımı yüklediğini gösteriyor. Ancak etkilenen tüm makinelerden yalnızca bir düzine ek kötü amaçlı yazılım düzeyi yeniden yüklendi. Bunlar perakendeye, bilime, hükümete ve imalat sanayine aitti. Bu, hedefli saldırıların göstergesidir. Kurbanlar Rusya, Brezilya, Türkiye, İspanya, Almanya, Fransa, İtalya ve Çin'den geliyor.
Daha fazla ayrıntı
İlgilenenler, Kaspersky analizinde kötü amaçlı yazılımlar ve virüslü dosyalar hakkında daha ayrıntılı bilgi bulabilir. Kötü amaçlı yazılım, diğer şeylerin yanı sıra, MAC adresleri gibi donanım verileri veya çalışan işlemler ve yüklü yazılımlar hakkındaki bilgileri de toplar. Aynı zamanda minimalist bir arka kapıyla birlikte gelir. Sonunda Kaspersky, uzlaşma göstergelerinin (IOC) daha uzun bir listesini listeliyor.
Son zamanlarda kötü niyetli aktörlerin normalde güvenilir olan yazılımlara kötü amaçlı kod enjekte ettiği saldırılarda bir artış oldu. Geçen yılın sonunda güçlü metin editörü Notepad++ vuruldu. Popüler CPU-Z ve HWMonitor araçlarına ev sahipliği yapan CPUID web sitesi de Nisan ortasında kötü amaçlı yazılım dağıttı.
(DMK)
Bir yanıt yazın