2025 yılı Şubat ayında siber güvenlik firması Rapid7 tarafından tespit edilen yeni bir zararlı yazılım kampanyasında, LetsVPN ve QQ Browser gibi popüler yazılımların sahte kurulum dosyaları kullanılarak Winos 4.0 adlı gelişmiş bir zararlı yazılım sistemi yayılıyor.
Kampanyada, çok aşamalı ve tamamen bellekte çalışan Catena adlı özel bir yükleyici (loader) görev alıyor. Rapid7 güvenlik araştırmacıları Anna Širokova ve Ivan Feigl, saldırıya dair şu açıklamada bulundu:
“Catena, içerdiği gömülü shellcode ve yapılandırma değiştirme mantığı ile yüklediği zararlı yazılımı doğrudan belleğe aktararak geleneksel antivirüs çözümlerinden kaçmayı başarıyor. Sisteme bulaştığında, sessizce Hong Kong merkezli sunucularla iletişime geçerek yeni komutlar veya ikinci aşama zararlıları almaya başlıyor.”
Çin Dili ve Kültürünü Hedefleyen Planlı Saldırılar
Bu saldırı dalgasının, geçmişte de benzer kampanyalarda kullanılan Winos 4.0 (diğer adıyla ValleyRAT) ile birebir örtüştüğü görülüyor. Siber güvenlik uzmanları, bu saldırıların özellikle Çince konuşulan coğrafyaları hedef aldığını ve kampanyaların “çok dikkatli, uzun vadeli planlamalar sonucu” ortaya çıktığını vurguluyor.
Trend Micro, bu zararlı yazılımı ilk olarak 2024 Haziran ayında kamuoyuna duyurmuştu. Winos 4.0’ın, sahte VPN uygulamaları üzerinden Windows Installer (MSI) dosyaları aracılığıyla dağıtıldığı ve “Void Arachne” ya da diğer adıyla “Silver Fox” adlı bir tehdit aktörü tarafından yönetildiği belirlenmişti.
Oyun Programları ve Resmî Gibi Gözüken E-Postalarla Tuzak Kuruluyor
Saldırganlar, Winos 4.0’ı yaymak için yalnızca VPN uygulamalarıyla yetinmiyor. Aynı zamanda:
- Oyun hızlandırıcılar,
- Sistem optimizasyon araçları,
- Ve çeşitli kurulum yardımcıları gibi yazılımların sahte sürümlerini kullanarak kullanıcıları kandırıyor.
2025 yılı Şubat ayında yaşanan başka bir saldırı dalgasında ise, Tayvan’daki bazı kurumlara “Ulusal Vergi Dairesi”nden geliyormuş gibi görünen sahte e-postalar gönderildiği ve bu yolla zararlı yazılımın yayılmaya çalışıldığı tespit edildi.
Teknik Olarak Gelişmiş ve Modüler Bir Yapıya Sahip
C++ ile yazılmış olan Winos 4.0, daha önce sıkça kullanılan Gh0st RAT adlı uzak erişim truva atı temelli bir altyapı üzerine inşa edilmiş. Bu yeni sürüm:
- Eklenti (plugin) temelli bir yapıya sahip,
- Bilgi sızdırma (data exfiltration),
- Uzaktan kabuk (shell) erişimi sağlama,
- Ve DDoS (Dağıtık Hizmet Reddi) saldırıları başlatma gibi çok sayıda işlevselliğe sahip.
📌 Türkiye’den Not:
Bu tür saldırılar, her ne kadar şu an Asya bölgesini hedefliyor gibi görünse de, benzer yöntemler Türkiye’de de sahte oyun yazılımları, crack’li programlar veya kamu kurumları adıyla gönderilen e-postalar üzerinden yaygın şekilde kullanılıyor. Türk kullanıcıların, özellikle popüler yazılımları güvenilir kaynaklardan edinmeleri ve e-posta eklerine karşı dikkatli olmaları büyük önem taşıyor.
Kaynak: http://thehackernews.com/2025/05/hackers-use-fake-vpn-and-browser-nsis.html
