Siber güvenlik firması Sophos’un araştırmacıları, Qilin adlı kötü niyetli bir yazılımın Google Chrome tarayıcısında hassas verileri çaldığını ortaya çıkardı. Yapılan incelemede, bir suç grubunun daha önce ele geçirilmiş kimlik bilgilerini kullanarak, ismi açıklanmayan bir kuruluşun bilgi teknolojileri altyapısına nasıl sızdığı anlatıldı.
Google Chrome verileriniz tehlikede olabilir!
Saldırganlar, çok faktörlü kimlik doğrulama (MFA) koruması bulunmayan bir VPN portalına ait tarayıcı kimlik bilgilerini kullanarak sisteme erişim sağladı. Sophos, ilk ihlalin bir İlk Erişim Komisyoncusu (IAB) tarafından yapılıp fidye yazılımı operatörlerine devredildiğini belirtti.
Saldırganlar, sistemde 18 gün boyunca fark edilmeden kaldıktan sonra, ele geçirdikleri kimlik bilgilerini kullanarak bir etki alanı denetleyicisine geçiş yaptı. Araştırmacılar, hedef kuruluşun Active Directory etki alanındaki diğer cihazlara da saldırdığını belirtiyor.
Qilin, klasik bir fidye yazılımı operasyonu olarak bilinen çift şantaj saldırısını uyguluyor. İlk olarak mümkün olduğunca çok bilgi çalıyor, ardından ele geçirilen cihazı şifreleyerek şifre çözme anahtarı karşılığında ödeme talep ediyor.
Sophos X-Ops ekibi, Qilin fidye yazılımı ihlalini incelerken, saldırganların ağdaki diğer cihazlarda bulunan Google Chrome tarayıcılarında saklanan kimlik bilgilerini toplu olarak çaldığını tespit etti. Bu durum, yalnızca hedef kuruluş için değil, potansiyel olarak çok daha geniş bir etki alanı için tehlike arz ediyor.
Araştırmacılar, bu tekniğin alışılmadık olduğunu ve fidye yazılımı durumlarında zaten var olan karmaşayı daha da artırabileceğini vurguladı. Qilin’in, başlangıçta ele geçirilen cihazla aynı ağa bağlı makinelerdeki Chrome tarayıcılarında kayıtlı kimlik bilgilerini topladığı belirlendi.
Bu anlamda uzmanlar, bilgisayarda güvenlik duvarı ve çok katmanlı antivirüs programlarını kullanmanızı öneriyor. Siz de konuyla ilgili görüşlerinizi bizlerle paylaşmayı unutmayın.