Sahte IndiaPost Web Sitesiyle Yapılan Saldırı
Siber güvenlik araştırmacıları, Hindistan Postanesi’ni (IndiaPost) taklit eden sahte bir web sitesiyle hem Windows hem de Android kullanıcılarını hedef alan karmaşık bir siber saldırıyı ortaya çıkardı.
Postindia[.]site adresinde barındırılan sahte web sitesi, kurbanın cihazını algılayarak, işletim sistemine uygun kötü amaçlı yükler sunuyor. Bu teknik, saldırganların gelişmiş bir strateji benimsediğini gösteriyor.
Saldırı Mekanizması: Windows ve Android Kullanıcıları Tehdit Altında
Kurbanlar masaüstü tarayıcılarından bu sahte siteyi ziyaret ettiğinde, panoya erişim sağlanmaya çalışılıyor ve “ClickFix” adlı talimatları içeren bir PDF indirmeleri isteniyor. Bu PDF, kullanıcılardan Win+R tuşlarına basarak bir PowerShell komutunu çalıştırmalarını talep ediyor. Eğer komut çalıştırılırsa, sistem kötü amaçlı yazılım tarafından ele geçiriliyor.
Android kullanıcıları ise “indiapost.apk” adlı bir APK dosyasını indirmeye yönlendiriliyor. Bu kötü amaçlı yazılım, hassas verilere erişim için geniş kapsamlı izinler talep ediyor ve bulaştığı cihazlarda uzun süre aktif kalabiliyor.
APT36’nın İzleri Ortaya Çıktı
Cyfirma araştırmacıları, Mart 2025’te gerçekleştirdikleri tehdit analizi sırasında bu saldırıyı tespit etti. Yapılan teknik incelemeler, saldırının Pakistan merkezli APT36 grubu tarafından gerçekleştirildiğine işaret ediyor. Bu grup, 2013 yılından bu yana Hindistan’a yönelik siber saldırılar düzenlemesiyle biliniyor.
PDF’in meta verileri incelendiğinde, dosyanın Pakistan saat diliminde (+5:00) Ekim 2024’te oluşturulduğu tespit edildi. Ayrıca, yazarın “PMYLS” olarak etiketlenmesi, Pakistan Başbakanı Gençlik Dizüstü Bilgisayar Programı’na gönderme yapıyor. Bu veriler, saldırıyı APT36 ile ilişkilendiriyor.
Saldırganlar, Hindistan hükümetine ait olduğunu düşündüren “email[.]gov[.]in[.]gov-in[.]mywire[.]org” gibi şüpheli etki alanlarını da kullanarak kimlik avı saldırıları gerçekleştiriyor.
Çok Katmanlı Enfeksiyon Mekanizması
Bu kampanya, saldırı vektörlerinin çeşitliliği ile dikkat çekiyor. Web sitesinin HTML kodu, kullanıcıların masaüstü veya mobil cihazdan bağlandığını tespit eden bir JavaScript fonksiyonuna sahip:
function detectDevice() {
const isMobile = /iPhone|iPad|iPod|Android/.test(navigator.userAgent);
if (isMobile) {
dialogTitle.textContent = "Get Our App";
actionButton.href = "https://postindia.site/download/indiapost.apk";
} else {
dialogTitle.textContent = "Download Tracking Information";
actionButton.href = "https://drive.usercontent.google.com/download?id=1RSILmV3HDR6APXKWEPXrg2MRP1d2xwmb&export=download";
}
}
Bu fonksiyon, ziyaretçinin cihazına göre farklı kötü amaçlı dosyalar sunarak saldırının etkinliğini artırıyor.
Android zararlı yazılımı, simgesini Google Hesapları uygulaması gibi gösterecek şekilde değiştirerek kullanıcıları aldatıyor. Ayrıca, sistem yeniden başlatıldığında aktif kalmasını sağlamak için BootReceiver işlevini kullanıyor.
Daha da önemlisi, kötü amaçlı yazılım pil optimizasyonu kısıtlamalarını aşarak sürekli çalışmayı garanti altına alıyor ve kullanıcıların kişisel verilerine, konum bilgilerine ve pano geçmişine erişim sağlıyor.
Siber Tehditlere Karşı Alınması Gereken Önlemler
Bu tür gelişmiş siber saldırılar, bireysel ve kurumsal kullanıcıların dikkatli olmasını zorunlu kılıyor. Kullanıcıların aşağıdaki önlemleri alması öneriliyor:
- Resmi Kaynakları Kullanın: Posta takibi ve diğer hizmetler için yalnızca resmi IndiaPost web sitesini ziyaret edin.
- Bilinmeyen Dosyaları Açmayın: E-posta veya web siteleri üzerinden gelen bilinmeyen PDF veya APK dosyalarını indirmeyin.
- İzinlere Dikkat Edin: Uygulamaların talep ettiği izinleri inceleyerek, gereksiz izinler isteyen uygulamalardan kaçının.
- Güvenlik Yazılımları Kullanın: Güncel antivirüs ve güvenlik çözümleri kullanarak kötü amaçlı yazılımlara karşı korunma sağlayın.
Siber güvenlik araştırmacıları, APT36 gibi grupların gelecekte daha sofistike saldırılar düzenleyebileceğini belirtiyor. Bu nedenle, bireylerin ve kuruluşların güvenlik farkındalığını artırarak korunma mekanizmalarını güçlendirmesi kritik önem taşıyor.
Diğer yazılarımıza buradan ulaşabilirsiniz.
Leave a Comment