Son dönemde, Z kuşağı (Gen Z) oyuncularını hedef alan oldukça karmaşık ve sofistike bir kötü amaçlı yazılım (malware) kampanyası ortaya çıktı. Bu kampanya, oyuncuların en çok tercih ettiği ve geniş kitlelere ulaşan popüler oyunların kötü amaçlı, silahlandırılmış sürümlerini kullanarak oyun topluluklarına sızmayı ve burada yer alan kullanıcıların hassas ve kişisel bilgilerini çalmayı amaçlıyor.
Yalnızca tek bir yıl içinde 19 milyondan fazla kötü amaçlı yazılım dağıtım girişimi tespit edildi. Bu rakam, siber suçluların Z kuşağı oyuncularının dijital ortamdaki yoğun ve sürekli faaliyetlerinden nasıl faydalandığını gözler önüne seriyor. Dijital yerliler olarak tanımlanan bu nesil, teknolojiyle iç içe büyüdüğü için, siber suçlular da onları hedef alarak büyük ölçekli ve etkili veri hırsızlığı operasyonları yürütüyor.
Saldırının Temel Yolu: Silahlandırılmış Oyun Kurulum Dosyaları
Bu kampanyanın ana saldırı vektörü, Grand Theft Auto, Minecraft ve Call of Duty gibi dünya genelinde milyonlarca oyuncuya sahip popüler oyunların, kötü amaçlı kodlarla değiştirilmiş, yani zararlılaştırılmış kurulum dosyalarının dağıtılmasıdır. Oyuncular, bu dosyaları gerçek oyunların kırılmış, hileli ya da modifiye edilmiş sürümleri olarak indirdiklerinde, cihazlarına zararlı yazılım bulaştırmış oluyorlar.
Google News’den alınan görselde, oyunların tanınabilir karakterleri ve dikkat çekici arka planlar kullanılarak oyuncuların ilgisi çekilmeye çalışılıyor (Kaynak – Kaspersky). Sadece bu üç oyuna yönelik yapılan saldırılar, toplam saldırı girişimlerinin %60’ından fazlasını, yani yaklaşık 11,2 milyon saldırıyı oluşturuyor.
Kötü amaçlı yazılım dağıtıcıları, bu üç oyunu tercih ediyor çünkü hem devasa ve aktif çevrimiçi topluluklara sahipler hem de oyuncular tarafından hile, modifikasyon ve kırılmış sürüm talepleri oldukça yüksek. Bu talepler kötü amaçlı aktörlerin işini kolaylaştırıyor, çünkü oyuncular güvenilir olmayan kaynaklardan bile bu dosyaları indirmeye istekli oluyor.
Tehdit Manzarasındaki Gelişmeler
Geleneksel oltalama (phishing) saldırılarının ötesine geçen tehdit aktörleri, birden fazla platformu aynı anda hedef alan gelişmiş stealer (veri hırsızı) kötü amaçlı yazılımlar geliştiriyor. Kaspersky güvenlik analistlerinin Kasım 2024’te tespit ettiği Hexon stealer, bu saldırıların başında geliyor. Bu kötü amaçlı yazılım, oyun forumları, Discord sunucuları ve dosya paylaşım platformları aracılığıyla yayılıyor.
Discord’da bazı kanallarda saldırganların paylaştığı mesajlar tespit edilmiş durumda (Kaynak – Kaspersky). Hexon stealer, yalnızca Steam oyun platformundan değil, aynı zamanda Telegram, WhatsApp gibi popüler anlık mesajlaşma uygulamalarından ve TikTok, YouTube, Instagram, Discord gibi sosyal medya platformlarından da kullanıcı verilerini topluyor.
Kötü Amaçlı Yazılımın İşleyiş Modeli: Malware-as-a-Service (MaaS)
Bu kampanyanın arkasındaki siber suçlular, Malware-as-a-Service (MaaS) modeli ile faaliyet gösteriyor. Yani teknik bilgiye sahip bazı aktörler, geliştirdikleri kötü amaçlı yazılım araçlarını diğer, daha az deneyimli suçlulara belirli bir ücret karşılığında sunuyor. Bu model, zararlı yazılımların hızlı yayılmasına ve karmaşık saldırıların daha geniş kitlelere ulaşmasına olanak sağlıyor.
Bu yapı sayesinde, farklı ülkelerdeki suçlular aynı anda farklı kanallardan Hexon stealer’ı yayabiliyor. Dolayısıyla saldırıların yaygınlığı ve karmaşıklığı artıyor, bu da güvenlik önlemlerini zorlaştırıyor.
Gelişmiş Tespit Atlatma ve Kalıcılık Özellikleri
Hexon stealer’ın en endişe verici yanı, gelişmiş tespit kaçırma (evasion) ve analiz önleme mekanizmalarıdır. İlk olarak keşfedildikten sonra, Hexon stealer “Leet” adıyla yeniden markalandı ve bu yeni versiyon, kötü amaçlı yazılım tasarımında önemli bir aşamayı temsil eden gelişmiş anti-analiz özellikleriyle donatıldı.
Leet, enfekte ettiği cihazda çalışmaya başlamadan önce, cihazın genel IP adresini doğrulama ve sistem özelliklerini detaylıca inceleme gibi çok katmanlı bir sandbox (koruma ortamı) atlatma prosedürü uyguluyor. Bu sayede, cihazın bir sanal makine veya güvenlik laboratuvarındaki analiz ortamı olup olmadığını tespit etmeye çalışıyor.
Gerçek zamanlı ortam kontrolü yapan kötü amaçlı yazılım, sistemdeki donanım yapılandırmaları, ağ parametreleri ve çalışan programlar üzerinden sanallaştırma veya analiz ortamı belirtileri arıyor. Eğer böyle bir ortam tespit edilirse, Leet kendini hemen kapatıyor ve çalışmayı durduruyor. Bu sayede, güvenlik araştırmacılarının kötü amaçlı yazılımı analiz etmesini engelliyor ve otomatik güvenlik sistemlerine yakalanmaktan kaçınıyor.
Bu kendi kendini koruma yeteneği, Leet’in gerçek kurbanların cihazlarında uzun süre aktif kalmasını ve bilgi çalmaya devam etmesini sağlıyor.
Kaynakça:https://cybersecuritynews.com/threat-actors-attacking-gen-z-gamers/
