Kötü Amaçlı Yazılım Haberleri - Son Dakika Kötü Amaçlı Yazılım Haber Güncel Gelişmeler

Sandworm, Polonya’nın Elektrik Şebekesini Hedef Aldı

Sandworm, özellikle Ukrayna'nın kritik altyapısına yönelik yıkıcı siber saldırılar konusunda uzun bir geçmişe sahip. Aralık ayının son haftasında Polonya'nın elektrik şebekesine yapılan saldırıda, ESET'in analiz ettiği ve DynoWiper olarak adlandırdığı veri silme kötü amaçlı yazılımı kullanıldı. ESET güvenlik çözümleri, DynoWiper'ı Win32/KillFiles.NMO olarak algılıyor. ESET araştırmacıları, kötü amaçlı yazılım ve ilgili TTP'leri analiz ettikten sonra saldırının Rusya yanlısı Sandworm APT'ye ait olduğunu düşündüklerini bunun nedeninin ise analiz edilen önceki birçok Sandworm wiper faaliyetiyle büyük ölçüde örtüşmesi olduğunu belirtti. Hedeflenen etkiyle ilgili ayrıntılar hâlâ araştırılmaya devam ederken ESET araştırmacıları, koordineli saldırının Sandworm'un Ukrayna elektrik şebekesine düzenlediği ve kötü amaçlı yazılımların neden olduğu ilk elektrik kesintisine yol açan saldırının 10’uncu yıl dönümünde gerçekleştiğini vurguladılar. 2015 yılının Aralık ayında Sandworm, BlackEnergy kötü amaçlı yazılımını kullanarak birkaç elektrik trafo merkezindeki kritik sistemlere erişim sağlamış ve yaklaşık 230 bin kişi birkaç saat boyunca elektriksiz kalmıştı. On yıl sonra Sandworm, özellikle Ukrayna'da çeşitli kritik altyapı sektörlerinde faaliyet gösteren kuruluşları hedef almaya devam ediyor. ESET araştırmacıları, Nisan-Eylül 2025 dönemini kapsayan en son APT Faaliyet Raporu'nda, Sandworm'un Ukrayna'daki hedeflerine düzenli olarak wiper saldırıları düzenlediğini tespit ettiklerini belirtti. Kaynak: (KAHA) Kapsül Haber Ajansı

Türkiye’de 2025 Yılında Siber Saldırılar %80 Azaldı!

Günde 169 adet ağ saldırısı yaşandı ve bu saldırıların birçoğu bilinmeyen türde gerçekleşti. Günde 655 adet yaşanan kötü amaçlı yazılım saldırıları ise geçen yıla oranla %1,37 artarak 238.436’ya yükseldi. i. Bu tabloya paralel olarak, 2024 yılında yaklaşık 1,5 milyona yaklaşan ağ ve kötü amaçlı yazılım saldırılarının toplam sayısı, 2025’te 300.035’e düşerek Türkiye’de siber saldırıların genel olarak %80 oranında azaldığını ortaya koydu. Bütünleşik siber güvenlik alanında küresel bir lider olan WatchGuard, 2025 yılında Türkiye’de meydana gelen siber saldırılara dair önemli verileri paylaştı. WatchGuard Tehdit Laboratuvarı’nın raporuna göre, 2025 yılında ağ tabanlı saldırılar bir önceki yıla kıyasla %94 azalarak 61.599’a gerilerken, kötü amaçlı yazılım saldırıları %1,37’lik sınırlı bir artışla 238.436 seviyesine yükseldi. Bu veriler, bir önceki yıl yaklaşık 1,5 milyona yaklaşan toplam saldırı hacminin 2025’te 300 bin seviyelerine inerek Türkiye’de siber tehditlerin genel ölçekte önemli ölçüde azaldığına işaret ediyor. WatchGuard Türkiye ve Yunanistan Ülke Müdürü Yusuf Evmez ise ağ saldırılarındaki sert düşüşün, güvenlik yatırımlarının ve farkındalığın etkisini gösterdiğini ancak kötü amaçlı yazılım tarafındaki sınırlı artışın, tehdit aktörlerinin yöntem değiştirdiğine işaret ettiğini belirterek, kurumların bu tabloyu bir rahatlama değil, savunma stratejilerini sürekli güncel tutmaları gereken bir uyarı olarak okumaları gerektiğinin altını çiziyor. Günde 169 Adet Ağ Saldırısı Gerçekleşiyor! WatchGuard Tehdit Merkezi’ne UTM cihazı Firebox’lardan gelen verilerle hazırlanan rapora göre, 2025 yılında Türkiye’de her gün 169 ve her saat 7 adet ağ saldırısı gerçekleşti. Saldırıların büyük bir çoğunluğunun bilinmeyen ve daha önce karşılaşılmamış olduğunu, en çok karşılaşılan ikinci ağ saldırısının ise WEB Dizin Gezintisi -2 olduğunu aktaran Yusuf Evmez’e göre, ağ saldırıları geçtiğimiz yıla kıyasla %94 oranında bir düşüş gösterse de saldırıların önemli bir bölümünün bilinmeyen türlerden oluşması, kurumların güvenlik stratejilerini sürekli güncel tutmasını zorunlu kılıyor. 2025’in Ekim Ayında Siber Saldırılar Rekor Kırdı 2025 yılının Ekim ayında rekor sayıyla 39.465 adet kötü amaçlı yazılım saldırısı kaydedilirken, bu saldırıların %3’ünü sıfırıncı gün (zero-day) saldırıları oluşturdu. Geleneksel güvenlik önlemlerinin gelişmiş tehditler karşısında sınırlı kaldığını belirten Yusuf Evmez, kurumların daha bütüncül ve güncel güvenlik çözümlerine yönelmesini tavsiye ediyor. 238.436 Kötü Amaçlı Yazılım Saldırısı Gerçekleşti! Dijitalleşmeyle birlikte verilerin ağlara taşınması, siber saldırganların da bu alanları hedef alarak daha güçlü ve organize saldırılar gerçekleştirmesine zemin hazırlıyor. WatchGuard Tehdit Merkezi’ne UTM cihazı Firebox’lardan gelen verilerle hazırlanan rapora göre, 2025 yılında Türkiye’de her gün 655 ve her saat 27 kötü amaçlı yazılım saldırısı yaşandı. Yıl genelinde toplam 238.436’ya ulaşan bu saldırıların %7’sini sıfırıncı gün tehditleri oluştururken, en sık karşılaşılan saldırı türü Gen:Heur.Mint.Zard.24 ve Generic.Application.Cashback.B.0835E4A4 oldu. Bir önceki yıla kıyasla %1,37’lik sınırlı bir artış yaşandığına dikkat çeken Yusuf Evmez, kurumların gelişen tehdit ortamına karşı güvenlik yaklaşımlarını sürekli güncel tutmasının önemini vurguladı. “Modern Tehdit Ortamında Sürdürülebilir Güvenlik Bütüncül Yaklaşım ile Mümkün Olabilir” Saldırı yöntemlerindeki dönüşümün, tehdit ortamının ne kadar hızlı evrildiğinin net biçimde ortaya koyduğunu vurgulayan WatchGuard Türkiye ve Yunanistan Kıdemli Satış Mühendisi Alper Onarangil, ‘’Siber saldırganlar artık geleneksel kötü amaçlı yazılımlar yerine, ele geçirilmiş kullanıcı kimlik bilgilerini ve sistemlerde halihazırda bulunan araçları kullanarak ağlara sızmayı tercih ediyor. Living off the land ve dosyasız saldırı teknikleri sayesinde PowerShell, WMI ya da Task Scheduler gibi işletim sistemi araçları kötüye kullanılarak, disk üzerinde iz bırakmadan ve aylarca tespit edilmeden hareket edilebiliyor. Bu tablo, güvenlik yaklaşımlarının da kaçınılmaz olarak dönüşmesini gerektiriyor. Kimlik bilgilerinin saldırıların merkezine yerleştiği günümüzde, çok faktörlü kimlik doğrulama (MFA) artık bir seçenek değil, kritik bir gereklilik haline gelmiş durumda. Aynı şekilde, yalnızca imza tabanlı çalışan geleneksel antivirüs çözümleri, dosyasız ve gelişmiş saldırılar karşısında yetersiz kalıyor. Bu noktada EDR ve NDR gibi davranış analizi temelli, gelişmiş tehdit algılama çözümleri öne çıkıyor. Tüm bunların ötesinde, kurumların Zero Trust güvenlik modelini benimsemesi ve ‘hiçbir kullanıcıya ya da cihaza varsayılan olarak güvenme’ prensibiyle hareket etmesi artık kaçınılmaz. Modern tehdit ortamına karşı sürdürülebilir güvenlik ancak bu bütüncül yaklaşım sayesinde mümkün olabilir.” açıklamalarında bulundu. *WatchGuard’ın Türkiye özelinde 2025 yılı için gerçekleştirdiği araştırma raporundaki bulgular, WatchGuard Threat Lab’ın araştırma çabalarını desteklemek için verileri paylaşmayı seçen aktif WatchGuard cihazlarından alınan anonim Firebox Feed verilerine dayanmaktadır.

Kişisel Bilgileriniz Size Karşı Silah Olarak Kullanılabilir

Küresel e-ticaret satışlarının 2025 yılında 6,4 trilyon doları aşacağı tahmin ediliyor. Bunların büyük bir kısmı pazar yerleri üzerinden gerçekleşecek. Tüketicilere kolaylık ve güvenlik, işletmelere ise daha geniş bir erişim alanı sunan bu sektör kötü niyetli kişiler tarafından da kullanılıyor. 2024 yılında Amazon 275 milyondan fazla sahte olduğu şüphelenilen yorumu proaktif olarak engelledi. Binlerce kişiye karşı yaptırım önlemleri aldı çünkü sorun sıradan tüketicilerin farkında olmadan sahte yorumların oluşturulmasına dâhil olabilecekleri bir noktaya kadar büyüdü. Fırçalama (Brushing) dolandırıcılığı nedir? Brushing dolandırıcılığı, satıcının görünüşte rastgele bir kişinin adresine paket gönderdiği bir tür e-ticaret dolandırıcılığıdır. Ürün genellikle düşük değerdedir. Satıcının e-ticaret pazarlarında ürünün puanını hileli bir şekilde yükseltme girişimidir. Dolandırıcı, genellikle veri ihlallerinden sonra siber suç forumlarında veya kişi arama sitelerinde listelenen isim ve posta adreslerinin bir listesini ele geçirir. Hatta bu bilgileri kamuya açık kaynaklardan da toplayabilirler. Ürünlerini sattığı bir e-ticaret platformunda veya pazar yerinde sahte bir alıcı hesabı oluşturur. Bu hesabı kullanarak o platformda ürününü "satın alır" ve ürünü kurbanın adresine gönderir. Dolandırıcı, sahte hesabı kullanarak 5 yıldızlı bir yorum yayımlar ve ürünün itibarını ve görünürlüğünü artırır . Kurban ise genellikle, istenmeyen paketi aldığında dolandırıcılıktan haberdar olur. Brushing dolandırıcılığının hedefi olmanız, kişisel verilerinizin siber suç dünyasında paylaşıldığı anlamına gelebilir ya da dolandırıcılar daha ciddi kimlik dolandırıcılığı içeren ikinci aşamaya geçmek için bilgilerinizi test ediyor olabilirler. Aldığınız paketin içinde bir QR kodu bulunan daha kötü niyetli versiyonları da vardır. Bu kodu taradığınızda büyük olasılıkla kötü amaçlı yazılım yüklemek veya sizi daha fazla kişisel bilgi paylaşmaya ikna etmek için tasarlanmış kötü amaçlı/oltalama bir siteye yönlendirilirsiniz. Brushing mağduru olup olmadığımı nasıl anlarım? Postayla satın aldığınızı hatırlamadığınız düşük değerli, kalitesiz bir ürün alırsanız bu hemen bir tehlike işareti olmalıdır. Belirsiz veya eksik bir iade adresi ve paketin içinde olası bir QR kodu da uyarı işaretleridir. Tekrar kontrol etmek için e-posta ve e-ticaret veya çevrimiçi pazar platformlarındaki hesaplarınızı inceleyerek son zamanlarda satın aldığınız ürünleri kontrol edin. Dolandırıcılar şimdiden planlarının bir sonraki aşamasına geçmiş olabilirler, bu nedenle banka hesaplarınızı ve kredi raporlarınızı da şüpheli hareketler açısından kontrol etmekte fayda var. Bir paket aldığımda ne yapmalıyım? Postayla sipariş ettiğinizi hatırlamadığınız bir şey alırsanız aşağıdaki adımları izleyerek riski en aza indirin. Arkadaşlarınıza veya ailenize son zamanlarda sizin adınıza bir şey sipariş edip etmediklerini sorarak bunun bir hediye olmadığından emin olun.Paketin içinde gönderilmiş olabilecek QR kodlarını taramaktan kaçının.Banka hesabınızdan para çekilmediğini veya adınıza yeni kredi limitleri açılmadığını kontrol edin.Çevrimiçi bankacılık ya da kredi kartı hesaplarınızda çok faktörlü kimlik doğrulama (MFA) ayarlandığından emin olun.Tüm çevrimiçi alışveriş ve e-posta hesaplarınızda MFA'yı etkinleştirin.Dolandırıcılığı ilgili pazar yerine bildirin. Çoğunda, brushing dolandırıcılığını bildirmek için özel bir bölüm bulunur.Ürünü gönderene iade etmeye çalışmayın, isterseniz ürün sizde kalabilir. Brushing dolandırıcılığından nasıl korunabilirim? Brushing dolandırıcılıklarının sizi hedef almasını engellemek için atabileceğiniz adımlar da var. Her şey, dolandırıcıların elinde hangi kişisel verilerinizin bulunduğuna bağlıdır. İş yaptığınız bir kuruluşun güvenliği ihlal edilip bilgileriniz sızdırılırsa yapabileceğiniz pek bir şey yok ancak potansiyel olarak tehlikeye atılmış bilgileri bulmak için karanlık web'i tarayan kimlik koruma hizmetleri kullanabilirsiniz. Bunların bazıları genel güvenlik paketinin bir parçası olarak sunulmaktadır. Herhangi bir hesabınızın tehlikeye atıldığını fark ederseniz parolalarınızı hemen değiştirin. Ayrıca yeni kartlarda borç yapmak için adınızı kullanma girişimlerini engellemek için kredi dondurma işlemi yaptırmanız da faydalı olacaktır. Dolandırıcılar halka açık web’den de veri topladıkları için iyi gizlilik alışkanlıkları edinmek önemlidir. Bu, sosyal medyada paylaştıklarınızı en aza indirmek, hesaplarınızı kilitleyerek yalnızca arkadaşlarınızın gönderilerinizi görebilmesini sağlamak ve ev adresleri, doğum tarihleri ve telefon numaraları gibi kişisel bilgileri kaldırmak anlamına gelir. Brushing dolandırıcılığı, dolandırıcıların kişisel bilgilerinizi size karşı silah olarak kullanmasının birçok yolundan sadece biridir. Ne yazık ki bu riski azaltmak "bir kerelik" bir iş değildir. Dijital dünyanız üzerinde sürekli tetikte olmanız gerekir. Kaynak: (KAHA) Kapsül Haber Ajansı

Yapay Zeka Yeni Bir Tehdit Çağının Fitilini Ateşliyor

ESET Research, ESET telemetrisinde görülen, ESET tehdit algılama ve araştırma uzmanlarının bakış açısıyla 2025 yılının Haziran ayından Kasım ayına kadar olan dönemde tehdit ortamındaki eğilimleri özetleyen en son Tehdit Raporunu yayımladı. ESET, anında kötü amaçlı komut dosyaları oluşturabilen, bilinen ilk yapay zekâ destekli fidye yazılımı olan PromptLock'u keşfetti. Yapay zekâ hâlâ çoğunlukla ikna edici kimlik avı ve dolandırıcılık içerikleri oluşturmak için kullanılıyor olsa da PromptLock ve bugüne kadar tespit edilen diğer birkaç yapay zekâ destekli tehdit, yeni bir tehdit çağının başlangıcını işaret ediyor. ESET Tehdit Önleme Laboratuvarları Direktörü Jiří Kropáč, "Nomani yatırım dolandırıcılıklarının arkasındaki dolandırıcılar da tekniklerini geliştirdiler. Daha yüksek kaliteli deepfake'ler, yapay zekâ tarafından oluşturulan kimlik avı sitelerinin işaretleri ve tespit edilmekten kaçınmak için giderek daha kısa süreli reklam kampanyaları gözlemledik" açıklamasını yaptı. ESET telemetrisinde, Nomani dolandırıcılıklarının tespiti bir önceki yıla göre yüzde 62 arttı ancak bu eğilim 2025'in ikinci yarısında hafifçe azaldı. Nomani dolandırıcılıkları son zamanlarda Meta'dan YouTube dâhil diğer platformlara da yayılmaya başladı. Fidye yazılımı alanında, kurban sayısı yıl sonundan çok önce 2024 toplamını aştı. ESET Research tahminleri, bir önceki yıla göre yüzde 40'lık bir artışa işaret ediyor. Akira ve Qilin şu anda fidye yazılımı hizmet pazarına hakimken düşük profilli yeni gelen Warlock yenilikçi kaçınma teknikleri sundu. EDR katilleri yayılmaya devam etti ve uç nokta tespit ve müdahale araçlarının fidye yazılımı operatörleri için önemli bir engel olmaya devam ettiğini vurguladı. NFC tehditleri büyümeye devam ediyor Mobil platformda, NFC tehditleri ölçek ve karmaşıklık açısından büyümeye devam etti. ESET telemetrisinde yüzde 87'lik bir artış ve 2025'in ikinci yarısında birkaç önemli yükseltme ve kampanya gözlemlendi. ESET tarafından ilk kez keşfedilen NFC tehditleri arasında öncü olan NGate, iletişim bilgilerini çalma şeklinde bir güncelleme aldı ve bu da gelecekteki saldırılar için zemin hazırlıyor olabilir. NFC dolandırıcılık sahnesinde tamamen yeni bir kötü amaçlı yazılım olan RatOn, uzaktan erişim trojanı (RAT) yetenekleri ile NFC aktarım saldırılarını nadir görülen bir şekilde bir araya getirerek siber suçluların yeni saldırı yolları arayışındaki kararlılığını gösterdi. RatOn, sahte Google Play sayfaları ve yetişkinlere yönelik TikTok sürümünü taklit eden reklamlar ve bir dijital banka kimlik hizmeti aracılığıyla dağıtıldı. PhantomCard – Brezilya pazarına uyarlanmış yeni NGate tabanlı kötü amaçlı yazılım – 2025 yılının ikinci yarısında Brezilya'da birçok kampanyada görüldü. Mayıs ayında küresel çapta ortadan kaybolmasının ardından Lumma Stealer bilgi hırsızı, iki kez kısa süreliğine yeniden ortaya çıktı ancak parlak günleri büyük olasılıkla sona erdi. 2025 yılının ikinci yarısında tespitler, yılın ilk yarısına kıyasla yüzde 86 oranında düştü. Lumma Stealer'ın önemli bir dağıtım vektörü olan ClickFix saldırılarında kullanılan HTML/FakeCaptcha truva atı, ESET telemetrisinden neredeyse tamamen kayboldu. GuLoader olarak da bilinen CloudEyE, ESET telemetrisine göre neredeyse otuz kat artışla öne çıktı. Kötü amaçlı e-posta kampanyaları yoluyla dağıtılan bu hizmet olarak sunulan kötü amaçlı yazılım indirici ve şifreleyici, fidye yazılımı dâhil olmak üzere diğer kötü amaçlı yazılımları ve Rescoms, Formbook ve Agent Tesla gibi bilgi hırsızlığı devlerini dağıtmak için kullanılıyor. Polonya, bu tehditten en çok etkilenen ülke oldu ve 2025'in ikinci yarısında CloudEyE saldırı girişimlerinin yüzde 32'si burada tespit edildi. Kaynak: (KAHA) Kapsül Haber Ajansı

Aşırı Paylaşım Yapmak Saldırıya Davetiye Çıkarabilir!

Siber güvenlik çözümlerinde dünya lideri ESET şirket bilgileri içeren paylaşımlara dikkat çekerek dikkat edilmesi gerekenleri sıraladı. Profesyoneller işleri, şirketleri ve rollerini paylaşırken benzer düşünen profesyonellerin yanı sıra potansiyel müşteriler ve ortaklara da ulaşmayı hedeflerler. Bu bilgiler kamuya açık hâle geldiğinde genellikle hedef odaklı kimlik avı (spearphishing) veya iş e-postası dolandırıcılığı (BEC) tarzı saldırılar düzenlemek için kullanılır. Bilgi ne kadar fazla olursa kuruluşunuza ciddi zarar verebilecek kötü niyetli faaliyetler için o kadar fazla fırsat doğar. Şirket bilgileri nerede paylaşılıyor? Genellikle bu tür bilgilerin paylaşıldığı Linkedin, tahmin edilebileceği gibi belki de en bariz örnektir. LinkedIn, dünyadaki en büyük açık kurumsal bilgi veri tabanı olarak tanımlanabilir. İşe alım uzmanlarının iş ilanlarını paylaştıkları yer de burasıdır ve bu ilanlarda, daha sonra spearphishing saldırılarında kullanılabilecek teknik ayrıntılar aşırı derecede paylaşılabilir. GitHub, siber güvenlik bağlamında, dikkatsiz geliştiricilerin sabit kodlanmış sırları, IP ve müşteri bilgilerini paylaştıkları bir yer olarak daha iyi bilinir. Ayrıca Instagram ve X gibi klasik tüketici odaklı sosyal platformlarda da çalışanlar onferanslara ve diğer etkinliklere ilişkin seyahat planlarının ayrıntılarını paylaşabilirler. Bu bilgiler kendilerine ve kuruluşlarına karşı silah olarak kullanılabilir. Şirket bilgileri silah olarak kullanılır mı? Tipik bir sosyal mühendislik saldırısının ilk aşaması istihbarat toplamaktır. Bir sonraki aşama ise alıcıyı cihazına farkında olmadan kötü amaçlı yazılım yüklemeye ikna etmek için tasarlanmış bir spearphishing saldırısında bu istihbaratı silah olarak kullanmaktır. Ya da potansiyel olarak, ilk erişim için kurumsal kimlik bilgilerini paylaşmaya ikna etmektir. Bu, e-posta, kısa mesaj veya telefon görüşmesi yoluyla gerçekleştirilebilir. Ayrıca bu bilgileri kullanarak e-posta, telefon veya video görüşmesinde C düzeyinde bir yönetici veya tedarikçi kimliğine bürünerek acil bir havale talebinde de bulunabilirler. Aşırı paylaşımın risklerine karşı en güçlü silah eğitim Yöneticilerden tüm çalışanlara kadar herkesin sosyal medyada aşırı paylaşım yapmamanın önemini anlamasını sağlamak için güvenlik farkındalık programlarını güncelleyin. Çalışanları, kullanıcıyı tanıdıkları hâlde istenmeyen DM'ler yoluyla paylaşım yapmamaları konusunda uyarın; phishing, BEC ve deepfake girişimlerini tespit edebilmelerini sağlayın. Bunu, sosyal medya kullanımıyla ilgili katı bir politika ile destekleyin, paylaşılabilecek ve paylaşılamayacak şeyler konusunda kırmızı çizgiler belirleyin ve kişisel ve profesyonel veya resmî hesaplar arasında net sınırlar uygulayın. Kurumsal web siteleri ve hesaplar da silah olarak kullanılabilecek bilgileri kaldırmak için gözden geçirilip güncellenmesi gerekebilir. Profesyonel hesapların ele geçirilerek iş arkadaşlarını hedef alması ihtimaline karşı, çok faktörlü kimlik doğrulama (MFA) ve güçlü parolalar (parola yöneticisinde saklanan) tüm sosyal medya hesaplarında zorunlu hâle getirilmelidir.

WatchGuard Threat Lab, Kötü Amaçlı Yazılımların %40 Artış Gösterdiğini Bildirdi

Raporun temel bulguları, gelişmiş kötü amaçlı yazılımların çeyrek bazda %40 artış gösterdiğini ortaya koyuyor. Veriler, şifrelenmiş kanalların, saldırganların Transport Layer Security (TLS) kullanarak tercih ettikleri saldırı yönü olduğunu vurguluyor. TLS, kullanıcıları korumak için hayati önem taşırken, saldırganlar kötü amaçlı yazılımları gizlemek için bunu giderek daha fazla kullanıyor. Genel olarak, kötü amaçlı yazılım tespitleri ikinci çeyrekte %15 artış gösterdi. Bu artışın nedeni, Gateway AntiVirus (GAV) tarafından tespit edilen kötü amaçlı yazılımların %85, IntelligentAV (IAV) tarafından tespit edilenlerin ise %10 artmasıydı. Bu durum, IAV'nin karmaşık tehditleri yakalamadaki rolünün giderek arttığını gösteriyor. Tüm kötü amaçlı yazılımların %70'i artık şifreli bağlantılar üzerinden dağıtıldığından, bulgular saldırganların gizleme ve gizlilik yöntemlerine giderek daha fazla güvendiklerini ve kuruluşların şifreli trafiğin görünürlüğünü artırmaları ve esnek koruma stratejileri benimsemeleri gerektiğini ortaya koyuyor. Threat Lab ayrıca ağ saldırılarında %8,3'lük hafif bir artış gözlemledi. Aynı zamanda, saldırıların çeşitliliği azaldı ve geçen çeyrekte 412 olan benzersiz imza sayısı 380'e düştü. Özellikle, yepyeni bir kötü amaçlı JavaScript algılama olan “WEB-CLIENT JavaScript Obfuscation in Exploit Kits” verilere girdi ve eski kontrolleri atlatmak için gizlemeyi bir kaçınma tekniği olarak kullanan yeni tehditlerin ne kadar hızlı yayılabileceğini vurguladı. Bulgular, yeni istismarların ortaya çıkmasına rağmen, saldırganların tarayıcılarda, web çerçevelerinde ve açık kaynak araçlarda yaygın olarak kullanılan eski güvenlik açıklarına büyük ölçüde güvenmeye devam ettiğini gösteriyor. “Kötü Amaçlı Yazılımlar İkinci Çeyrekte Artış Gösterdi” WatchGuard Technologies'in güvenlik sorumlusu Corey Nachreiner, “Raporun bulguları, saldırganların tespit edilmeyi önlemek ve etkilerini en üst düzeye çıkarmak için yoğun çaba sarf etmeleri nedeniyle, şifreli kanallarda kaçak kötü amaçlı yazılımların ikinci çeyrekte artış gösterdiğini ortaya koyuyor. Kaynakları sınırlı MSP'ler ve küçük BT ekipleri için bu değişim, asıl zorluğun güçlü önlemlerle hızlı bir şekilde uyum sağlamak olduğu anlamına geliyor. Tutarlı yama uygulamaları, kanıtlanmış savunma sistemleri ve hızlı hareket edebilen gelişmiş algılama ve yanıt teknolojileri, bu tehditleri azaltmak için en etkili önlemler olmaya devam ediyor.” açıklamalarında bulundu. WatchGuard'ın 2025 2. Çeyrek İnternet Güvenliği Raporu'nun önemli bulguları şunlar: 1. Yepyeni, benzersiz kötü amaçlı yazılım tehditleri %26 artış göstererek, kötü amaçlı yazılım kaçakçılığı türlerinden biri olan paket şifrelemenin tehdit aktörleri arasında ne kadar yaygın olduğunu ortaya koydu. Bu polimorfik tehditler, imza tabanlı algılamadan kaçarak WatchGuard'ın APT Blocker (Gelişmiş Kalıcı Tehdit Engelleyici) ve IAV sayıları gibi gelişmiş hizmetlerinin daha yüksek isabet oranlarına yol açıyor. 2. Threat Lab, beklenmedik bir şekilde iki USB tabanlı kötü amaçlı yazılım tehdidi tespit etti: uzaktan erişim arka kapısı PUMPBENCH ve yükleyici HIGHREPS. Her ikisi de Monero (XMR) madenciliği yapan XMRig adlı bir coin madencisi kullanıyor ve kripto sahipleri arasında donanım cüzdan kullanımına bağlı olmaları muhtemel. 3. Fidye yazılımları %47 oranında azaldı. Bu, daha az sayıda ancak daha etkili ve daha büyük sonuçlara yol açan, yüksek profilli hedeflere yönelik saldırılara doğru bir kayma olduğunu gösteriyor. Özellikle, aktif şantaj gruplarının sayısı arttı ve Akira ve Qilin en agresif gruplar arasında yer aldı. 4. Dropper'lar ağ kötü amaçlı yazılımlarını domine etti. En çok tespit edilen on yazılımdan yedisi, Trojan.VBA.Agent.BIZ ve kimlik bilgisi hırsızı PonyStealer dahil olmak üzere, ilk aşamada kullanıcı tarafından etkinleştirilen makroları istismar eden birinci aşama yükleriydi. Kötü şöhretli Mirai botnet de beş yıl aradan sonra yeniden ortaya çıktı ve çoğunlukla APAC bölgesinde yoğunlaştı. Dropper'ların hakimiyeti, saldırganların çok aşamalı enfeksiyonları tercih ettiğini gösteriyor. 5. Sıfırıncı gün kötü amaçlı yazılımlar, tespit edilenlerin %76'sından fazlasını ve şifrelenmiş kötü amaçlı yazılımların neredeyse %90'ını oluşturarak hakimiyetini sürdürüyor. Bu bulgular, özellikle TLS trafiğinde gizlenen tehditler için, imzaların ötesinde gelişmiş tespit yeteneklerine duyulan ihtiyacı vurguluyor. 6. DNS tabanlı tehditler, RAT görevi gören bir yükleyici kötü amaçlı yazılım olan DarkGate uzaktan erişim truva atı (RAT) ile bağlantılı etki alanları da dahil olmak üzere devam etti ve DNS filtrelemesini kritik bir savunma katmanı olarak güçlendirdi. Kaynak: (KAHA) Kapsül Haber Ajansı

Yapay zekâ ile büyüyen yeni tehdit: Grokking

Siber güvenlik alanında dünya lideri olan ESET, üretken yapay zekâ (GenAI) teknolojilerinin kötüye kullanımıyla artan tehditlere karşı uyarıda bulundu. “Grokking” olarak adlandırılan bu yeni teknik, sosyal medya platformu X’te yapay zekâ sohbet robotu Grok’un manipüle edilerek kimlik avı bağlantılarını yaymasına neden oluyor. Yapay zekâ, farklı yöntemlerle sosyal mühendislik tehdidi oluşturabiliyor. LLM olarak adlandılan büyük dil modelleri büyük ölçekte, son derece ikna edici kimlik avı kampanyaları tasarlamak ve en şüpheci kullanıcıları bile kandırmak için derin sahte ses ve videolar oluşturmak için kullanılabiliyor. Ancak X'in yakın zamanda keşfettiği gibi, bir başka, muhtemelen daha sinsi bir tehdit daha var: Grokking. Bu saldırı kampanyasında, tehdit aktörleri, tıklama tuzağı videolar içeren video kartı gönderileri yayımlayarak, X'in tanıtılan gönderilerdeki bağlantıları yasaklamasını (kötü amaçlı reklamlarla mücadele etmek için tasarlanmış) atlayabiliyor. Videonun altındaki küçük "kaynak" alanına kötü amaçlı bağlantılarını gömebiliyorlar. Kötü niyetli aktörler daha sonra X'in yerleşik GenAI botu Grok'a videonun nereden geldiğini soruyor. Grok gönderiyi okuyor, küçük bağlantıyı fark ederek ve yanıtında onu büyütüyor. Bu durum, Grok’un güvenilirliği sayesinde dolandırıcılık içeriklerinin daha geniş kitlelere ulaşmasına ve arama motorlarında daha yüksek sıralamalara çıkmasına yol açıyor. Grokking neden tehlikeli? Tehdit aktörlerinin güvenlik mekanizmalarını atlatmanın bir yolunu bulmadaki yaratıcılığını ve kullanıcıların yapay zekânın çıktısına güvenirken aldıkları riskleri görmemiz gerekiyor. Bu hile, Grok'u güvenilir hesabında bir kimlik avı bağlantısını yeniden paylaşmaya yönlendirerek onu etkili bir şekilde kötü niyetli bir aktör hâline getiriyor.Ücretli video gönderileri genellikle milyonlarca kez görüntüleniyor; dolandırıcılık ve kötü amaçlı yazılımları geniş bir alana yayma potansiyeline sahiptir.Grok son derece güvenilir bir kaynak olduğu için bağlantılar SEO ve alan adı itibarında da güçleniyor.Bağlantılar, kimlik bilgilerini çalan formlara ve kötü amaçlı yazılım indirmelerine yönlendiriliyor. Bu da kurbanların hesaplarının ele geçirilmesine, kimlik hırsızlığına ve daha fazlasına yol açabiliyor. Prompt Enjeksiyonu: GenAI'nin Yeni Açığı Grokking, prompt enjeksiyonu adı verilen daha geniş bir saldırı türünün parçası. Bu tür saldırılarda tehdit aktörleri, GenAI botlarına kötü amaçlı komutlar vererek onları manipüle ediyor. Bu komutlar doğrudan sohbet arayüzüne yazılabileceği gibi, içerik meta verilerine gizlenerek dolaylı yollarla da uygulanabiliyor. ESET uzmanları, bu tür saldırıların yalnızca X platformuyla sınırlı olmadığını, teorik olarak her türlü GenAI aracına uygulanabileceğini vurguluyor. Bu durum, yapay zekâ teknolojilerinin güvenlik açıklarını ve kullanıcıların bu araçlara körü körüne güvenmemesi gerektiğini ortaya koyuyor. Kullanıcılar için güvenlik önerileri: Gömülü yapay zekâ araçları, kimlik avına karşı uzun süredir devam eden savaşta yeni bir cephe açtı. Bu yeni dolandırıcılık yöntemine karşı dikkatli olmak için her zaman sorgulayıcı olun. Aldığınız cevapların tamamen doğru olduğunu düşünmeyin. Bir GenAI botu tarafından bir bağlantı sunulursa üzerine gelerek gerçek hedef URL'sini kontrol edin. Şüpheli görünüyorsa tıklamayın. Yapay zekâ çıktısına her zaman şüpheyle yaklaşın, özellikle de cevap/öneri uygunsuz görünüyorsa. Kimlik bilgilerinin çalınma riskini azaltmak için güçlü, benzersiz parolalar (parola yöneticisinde saklanan) ve çok faktörlü kimlik doğrulama (MFA) kullanın. Güvenlik açığı istismar riskini en aza indirmek için tüm cihaz/bilgisayar yazılımlarınızın ve işletim sistemlerinizin güncel olduğundan emin olun. Cihazınızdaki kötü amaçlı yazılım indirmelerini, kimlik avı dolandırıcılıklarını ve diğer şüpheli etkinlikleri engellemek için saygın bir güvenlik yazılımı sağlayıcısından çok katmanlı koruma edinin. Kaynak: (KAHA) Kapsül Haber Ajansı

Sahte mesajlaşma uygulamalarıyla veri sızdırıyorlar

ESET'in araştırması, daha önce belgelenmemiş iki casus yazılım ailesinin keşfedilmesine yol açtı: Android/Spy.ProSpy, Signal uygulaması ve tartışmalı ve kullanımdan kaldırılan ToTok uygulaması için yükseltme veya eklenti gibi davranırken Android/Spy.ToSpy ise ToTok uygulamasını taklit ediyor. C&C sunucularının hâlâ aktif olması, ToSpy kampanyalarının devam ettiğini gösteriyor. Keşfi yapan ESET araştırmacısı Lukáš Štefanko konu ile ilgili yaptığı açıklamada şunları söyledi: "Casus yazılım içeren hiçbir uygulama resmî uygulama mağazalarında mevcut değildi. Her ikisinin de meşru hizmetler gibi görünen üçüncü taraf web sitelerinden manuel olarak yüklenmesi gerekiyor. Özellikle, ToSpy kötü amaçlı yazılım ailesini dağıtan web sitelerinden biri Samsung Galaxy Store'u taklit ederek kullanıcıları ToTok uygulamasının kötü amaçlı bir sürümünü manuel olarak indirip yüklemeye yönlendirdi. Yükledikten sonra, her iki casus yazılım ailesi de kalıcılıklarını koruyor ve güvenliği ihlal edilmiş Android cihazlardan hassas verileri ve dosyaları sürekli olarak sızdırıyor. BAE'de teyit edilen tespitler ve kimlik avı ve sahte uygulama mağazalarının kullanımı, stratejik dağıtım mekanizmalarına sahip bölgesel odaklı operasyonları akla getiriyor." ESET Research, ProSpy kampanyasını Haziran 2025'te keşfetti ve bu kampanya muhtemelen 2024'ten beri devam ediyor. ProSpy, iletişim platformları Signal ve ToTok'u taklit etmek için tasarlanmış üç aldatıcı web sitesi aracılığıyla dağıtılıyor. Bu siteler, Signal Encryption Plugin ve ToTok Pro kılığına girmiş, iyileştirme gibi görünen kötü amaçlı APK'lar sunuyor. ae.net alt dizesiyle biten bir alan adının kullanılması, kampanyanın Birleşik Arap Emirlikleri'nde ikamet eden kişileri hedeflediğini düşündürüyor çünkü AE, BAE'nin iki harfli ülke kodu. Soruşturma sırasında ESET, aynı casus yazılım kod tabanını kullanan ve ToTok Pro adı altında ToTok mesajlaşma uygulamasının geliştirilmiş bir sürümü gibi görünen beş adet daha kötü amaçlı APK keşfetti. Birleşik Arap Emirlikleri'nde geliştirilen tartışmalı ücretsiz mesajlaşma ve arama uygulaması ToTok, gözetim endişeleri nedeniyle Aralık 2019'da Google Play ve Apple'ın App Store'undan kaldırıldı. Kullanıcı tabanının çoğunlukla BAE'de olduğu göz önüne alındığında ToTok Pro'nun bu bölgedeki kullanıcıları hedef alıyor olması muhtemel çünkü bu kullanıcılar kendi bölgelerindeki resmî olmayan kaynaklardan uygulamayı indirme eğiliminde olabilirler. Çalıştırıldığında her iki kötü amaçlı uygulama da cihaza kaydedilmiş kişilere, SMS mesajlarına ve dosyalara erişim izni istiyor. Bu izinler verilirse ProSpy arka planda veri sızdırmaya başlıyor. Signal Encryption Plugin, cihaz bilgilerini, kaydedilmiş SMS mesajlarını ve kişi listesini çıkarır ve sohbet yedeklemeleri, ses, video ve görüntüler gibi diğer dosyaları sızdırır. Haziran 2025'te, ESET telemetri sistemleri, BAE'de bulunan bir cihazdan kaynaklanan ve aktif olarak yayılan, daha önce belgelenmemiş başka bir Android casus yazılım ailesini tespit etti. ESET, bu kötü amaçlı yazılımı Android/Spy.ToSpy olarak etiketledi. Daha sonra yapılan araştırma, ToTok uygulamasını taklit eden dört aldatıcı dağıtım web sitesini ortaya çıkardı. Uygulamanın bölgesel popülaritesi ve tehdit aktörleri tarafından kullanılan taklit taktikleri göz önüne alındığında bu casus yazılım kampanyasının birincil hedeflerinin BAE veya çevresindeki bölgelerdeki kullanıcılar olduğu tahmin edilebilir. Casus yazılım arka planda şu verileri toplayabilir ve dışarı aktarabilir: Kullanıcı kişileri, sohbet yedeklemeleri, görüntüler, belgeler, ses ve video gibi cihaz bilgi dosyaları. ESET'in bulguları, ToSpy kampanyasının muhtemelen 2022 ortasında başladığını göstermektedir. Lukáš Štefanko, "Kullanıcılar, resmî olmayan kaynaklardan uygulama indirirken ve bilinmeyen kaynaklardan yüklemeyi etkinleştirirken ayrıca resmî uygulama mağazaları dışındaki uygulamaları veya eklentileri, özellikle güvenilir hizmetleri geliştirdiğini iddia edenleri yüklerken dikkatli olmalıdır" tavsiyesinde bulundu. Kaynak: (KAHA) Kapsül Haber Ajansı