Geçtiğimiz günlerde Google Chrome için yeni bir 0day zafiyeti tespit edildi. 0day zafiyetleri, çok az sayıda teknisyen tarafından kullanılabilen elit açıklardır ve genellikle deep web üzerinden yüksek meblağlara satılır. Microsoft, Kuzey Koreli tehdit aktörlerinin bu zafiyeti kullanarak kripto yatırımcılarını hedef aldığını belirtti.
Chrome Açığı ve Kripto
Güvenilmeyen internet sitesi ve uygulamalardan uzak durulması gerektiği sık sık vurgulanmaktadır. Ayrıca, ücretli anti virüs yazılımlarının web trafiğinin güvenliğini sağlaması gerektiği belirtilir. Microsoft, Kuzey Koreli saldırganların CVE-2024-7971 olarak tanımlanan zafiyeti kullanarak uzaktan kod çalıştırma kabiliyeti elde ettiğini tespit etti.
Bu saldırı, özellikle kripto para sektörünü hedef aldı. Microsoft’un araştırmasına göre, Diamond Sleet ve Citrine Sleet isimli iki grup bu zafiyeti ortak biçimde kullanmıştır. Citrine Sleet, hedef kullanıcıları kendi kontrol ettikleri saldırı adresine yönlendirerek RCE istismarını gerçekleştirmiştir.
Saldırı Senaryosu
Saldırı senaryosu, tipik tarayıcı istismar zincirlerini içermektedir. Hedefler, Citrine Sleet tarafından kontrol edilen voy****club[.]space saldırı adresine yönlendirilmiştir. Sosyal mühendislik, bu yönlendirme taktiğinin yaygın bir parçasıdır. Hedef adresine bağlanıldığında, sıfır gün RCE istismarı sunulmuştur.
CVE-2024-7971 istismarı, Chromium renderer işleminde kod yürütmeyi başarmış ve ardından Shellcode indirerek bellek yüklemesi yapılmıştır. Windows çekirdeğindeki bir güvenlik açığı kullanılarak korumalı alan kaçışı gerçekleştirilmiştir. Bu açık, Microsoft tarafından daha önce düzeltilmiştir.
Kullanıcılar İçin Öneriler
İşte kullanıcıların alabileceği bazı somut önlemler:
• Tarayıcı güncellemelerini düzenli olarak kontrol edin ve yapın.
• Güvenilmeyen kaynaklardan gelen linklere tıklamaktan kaçının.
• Ücretli ve güvenilir anti virüs yazılımları kullanın.
• Şüpheli faaliyetleri hemen raporlayın.
Google Chrome bu açığı yamamış ve 60 gün içinde detaylı açıklama yapması beklenmektedir. Tarayıcıyı her zaman güncel tutmak ve şüphecilikten uzak durmak önemlidir. Kuzey Koreli saldırganların bu zafiyeti kullanarak mağdur ettiği kripto yatırımcılarına dair henüz kapsamlı bir rapor yayınlanmamıştır. Sistemlerini güncellemeyen kullanıcılar potansiyel hedef olmaya devam etmektedir.
