Yeni Linux Zararlı Yazılımı “PXA Stealer” Alarmı: Binlerce Bilgisayara Sızdı!
Genellikle Windows’a kıyasla daha güvenli bir işletim sistemi olarak bilinen Linux, son zamanların en tehlikeli ve en sinsi bilgi hırsızlarından birinin hedefi haline geldi. Güvenlik araştırma firmaları SentinelLabs ve Beazley Security tarafından yayınlanan ortak bir rapora göre, PXA Stealer adı verilen yepyeni bir Linux zararlı yazılımı, dünya genelinde binlerce bilgisayara sızarak kullanıcıların oturum açma kimlik bilgilerini, ödeme bilgilerini ve tarayıcı çerezlerini çalıyor.
İlk olarak 2024’ün sonlarında tespit edilen bu tehdidin, o zamandan bu yana kendini geliştirerek, güvenlik araçlarından başarıyla kaçan zorlu bir operasyona dönüştüğü belirtiliyor.
PXA Stealer Nedir ve Ne Çalıyor?
PXA Stealer, Python tabanlı, yeni nesil bir bilgi hırsızı (infostealer) yazılımıdır. Amacı, bir sisteme sızdıktan sonra olabildiğince çok değerli veriyi toplayıp saldırganlara göndermektir.
İşte bu zararlı yazılımın hedef aldığı veriler:
- Tarayıcı Bilgileri: Yaklaşık 40 farklı web tarayıcısından kaydedilmiş şifreler, çerezler, kişisel bilgiler (PII), otomatik doldurma verileri ve kimlik doğrulama token’ları.
- Kripto Cüzdanları: Exodus, Magic Eden, Crypto.com gibi birçok popüler kripto cüzdanı tarayıcı eklentisini hedef alıyor.
- Finansal Siteler: Coinbase, Kraken ve PayPal gibi sitelerden veri çekebiliyor.
- Şifreleme Atlama: Çalışan tarayıcı örneklerine bir DLL enjekte ederek, şifreleme mekanizmalarını atlatabiliyor.
Saldırı Yöntemi: DLL Side-Loading Tuzağı
Saldırganlar, PXA Stealer’ı yaymak için son derece sinsi bir yöntem kullanıyor:
- Oltalama (Phishing): Kurbanlara, sahte e-postalar veya kötü amaçlı açılış sayfaları aracılığıyla ulaşıyorlar.
- Sahte Dosya: Bu e-postalardaki ekler, PDF okuyucu gibi meşru bir program ile birlikte, silah haline getirilmiş zararlı bir DLL dosyası içeriyor.
- DLL Side-Loading: Kurban meşru görünen programı çalıştırdığında, program arka planda farkında olmadan, orijinal DLL dosyası yerine saldırganın zararlı DLL dosyasını yüklüyor. Bu “DLL side-loading” tekniği, zararlı yazılımın hiçbir alarm vermeden sisteme sızmasını sağlıyor.
Saldırının Kapsamı ve Saldırganların Profili
Bu kampanya, şimdiden önemli bir başarıya ulaşmış gibi görünüyor.
- Etkilenenler: Dünya genelinde 62 ülkede 4.000’den fazla bilgisayarın enfekte olduğu belirtiliyor.
- Çalınan Veriler: Şu ana kadar 200.000’den fazla şifre, yüzlerce kredi kartı bilgisi ve dört milyondan fazla çerez çalındı.
- Saldırganlar: Araştırmacılar, saldırganların Vietnam kökenli olduğunu ve çaldıkları verileri kendileri kullanmak yerine, bir Telegram grubunda karaborsada sattıklarını belirtiyor.
En çok etkilenen ülkeler ise Güney Kore, ABD, Hollanda, Macaristan ve Avusturya olarak sıralanıyor.
Linux ekosistemini hedef alan bu kadar sofistike ve yaygın bir saldırı, artık hiçbir işletim sisteminin %100 güvenli olmadığını ve tüm kullanıcıların dikkatli olması gerektiğini bir kez daha gösteriyor.
Linux’un genellikle daha güvenli olduğu algısı, kullanıcıları bu tür tehditlere karşı daha dikkatsiz hale getiriyor olabilir mi? Bu olay, açık kaynaklı işletim sistemlerinin güvenliği hakkındaki düşüncelerinizi nasıl etkiledi? Düşüncelerinizi yorumlarda bizimle paylaşın!
Bu Konuyla İlgili Diğer“Nedir?”Yazılarımız:
Dijital dünyada güvende kalmanızı sağlayacak en son siber güvenlik tehditleri, korunma yöntemleri ve gizlilik ipuçları için techneiro.com‘u takip etmeye devam edin!
