2019’da ilk kez gözlemlenen LegionLoader, C/C++ tabanlı bir indirici (downloader) malware’ıdır. Saldırganlar, bu zararlı yazılımı kullanarak, kurbanların bilgisayarlarına çeşitli Chrome uzantıları yükleyerek bilgi çalmakta ve bilgisayarları proxy olarak kullanabilmektedirler. 2024 yılından itibaren, LegionLoader, daha sofistike bir teknikle, Chrome uzantıları aracılığıyla kullanıcıların kimlik bilgilerini çalmaya yönelik payload’lar (yükler) dağıtmaktadır. Bu yükler, ağ trafiğini izleyebilir, şifreleri ele geçirebilir ve hatta cihazları uzaktan kontrol etme yeteneğine sahip olabilir.
Zaafiyet ve Sömürülme Yöntemi
LegionLoader’ın kullandığı zaafiyetler temelde Chrome uzantılarındaki güvenlik açıklarıdır. Bu zararlı yazılım, Chrome tarayıcısının uzantı yönetim özelliklerini sömürerek, kötü amaçlı uzantılarla kullanıcıların bilgisayarlarına sızmaktadır. Burada, şunlar gerçekleşir:
- Drive-by Downloads: LegionLoader, zararlı uzantıları hedef bilgisayarlara otomatik olarak indirir. Bu işlem, kullanıcının herhangi bir şüpheli web sitesini ziyaret etmesiyle başlar. Uzantılar, kullanıcıya hiçbir uyarı vermeden yüklenebilir. Saldırganlar, uzantılar sayesinde tarayıcıları kontrol edebilir, kullanıcıların ziyaret ettiği sayfaları izleyebilir ve kullanıcıların kimlik bilgilerini çalabilirler.
- Uzantı Sömürüsü: LegionLoader, Google Chrome ve diğer Chromium tabanlı tarayıcıların uzantı yönetimini hedef alır. Kötü niyetli uzantılar, tarayıcı oturumlarını manipüle edebilir, tarayıcıyı proxy olarak kullanabilir ve hatta kullanıcıların gezinti geçmişini ve kimlik bilgilerini çalabilir.
Zararlı Yazılımın Dağıtımı ve Etkileme Yöntemleri
LegionLoader, şifreli bir MSI dosyasını çalıştırarak kendini hedef sisteme sızdırır. Bu dosya şunları yapar:
- Veri İletişimi: MSI dosyasının çalıştırılmasıyla, sistemden alınan tarih, saat, ve ürün dili bilgileri, komuta ve kontrol (C2) sunucusuna gönderilir. Ardından, şifreli bir ZIP dosyasının şifresi alınarak, zararlı dosya, belirli bir anahtar aracılığıyla çözülür. Bu süreç, şifre çözme için kullanılan RC4 algoritması ile yapılır.
- Yan Yükleme (Side-loading) Yöntemi: LegionLoader, kurbanın sistemine yüklemek için daha önce kullanılan yöntemlerden farklı olarak, yeni bir yan yükleme tekniği kullanır. Artık, “steamerrorreporter64.exe” dosyasını kullanarak kötü amaçlı “vstdlib_s64.dll” dosyasını yükler. Bu dosya, sistemde saklanarak yeniden başlatılabilir ve sürekli olarak ağ üzerinden komut alabilir.
- Cihaz Tespiti ve Proxy Kullanımı: LegionLoader, kurbanın tarayıcısını proxy olarak kullanabilir. Bu da demektir ki, saldırganlar, kurbanın internet bağlantısını kendi faaliyetleri için kullanabilir. Bu saldırganların, kurbanın cihazından gerçek zamanlı veri alıp göndermelerini sağlar.
Zaafiyetlerden Etkileniyor muyum?
LegionLoader, yalnızca kötü amaçlı Chrome uzantıları ve zararlı MSI dosyaları yükleyerek cihazlara sızabilir. Eğer bir sistemde bu tür uzantılar aktifse ve zararlı yazılımlar bu uzantıları yönetiyorsa, kullanıcılar LegionLoader’dan etkilenebilirler.
Etkilenen Sistemler ve Yöneticiler İçin Riskler
Kullanıcılar bu zararlı yazılımdan genellikle şüphelenmeden etkilenirler. Çünkü LegionLoader, kullanıcı etkileşimini gerektirecek şekilde tasarlanmıştır. Yani, yalnızca zararlı dosyaların indirildiği bir sistemde, kullanıcıların dosyayı çalıştırması veya uzantıyı yüklemesi gerekmektedir. Bu, örneğin kullanıcıların bir oturum açarken, şüpheli bir bağlantıya tıklamaları ile başlar.
Saldırı İletişimi ve Komuta Kontrol (C2)
LegionLoader, bir C2 sunucusuna bağlanarak şifreli yapılandırma dosyasını alır ve bunu kullanarak hedef sistemdeki zararlı yükleri çalıştırır. C2 sunucusuna gönderilen GET istekleri genellikle şu şekilde yapılır: “GET /test_gate0117.php?a=RANDOMSTRING”. Burada, “RANDOMSTRING” saldırganın belirli bir hedefi izleyebilmesi için kullanılan rastgele bir karakter dizisidir. Bu yapılandırma dosyasına bağlı olarak, zararlı yazılım, hedef makinelerde belirli yüklerin çalıştırılmasına olanak tanır.
Zararlı Yazılımlar ve Payload’lar
LegionLoader, yüklediği zararlı yazılımlar arasında, özellikle LummaC2 ve StealC gibi infostealer’lar yer alır. Bu zararlılar, kullanıcıların kimlik bilgilerini çalmak ve finansal verilerini izlemek için kullanılır. LegionLoader, ayrıca şifreli DNS istekleri kullanarak C2 adreslerine bağlanır ve burada bulunan yükleri indirir.
Savunma Yöntemleri
LegionLoader ve benzeri zararlı yazılımlara karşı korunmak için şu önlemler alınabilir:
- Chrome Uzantılarını Denetleme: Kullanıcılar, yalnızca güvenilir ve resmi uzantıları yüklemelidir. Bilinmeyen veya şüpheli uzantılardan kaçınılmalıdır.
- Antivirüs ve EDR Sistemleri Kullanmak: Güncel antivirüs yazılımları ve Endpoint Detection and Response (EDR) çözümleri kullanmak, sistemdeki zararlı yazılımları tespit etmek için gereklidir.
- Firewall ve IDS/IPS Kullanımı: Güvenlik duvarları ve ağ tabanlı saldırı tespit sistemleri, zararlı aktiviteleri engelleyebilir.
- Daha Güçlü Kimlik Doğrulama: Çift faktörlü kimlik doğrulama (2FA) kullanmak, kullanıcı hesaplarının ele geçirilmesini zorlaştırabilir.
Sonuç
LegionLoader, tarayıcılar ve uzantılar üzerinden dağıtılan güçlü bir infostealer’ıdır ve gelişmiş saldırı teknikleri kullanarak kurbanların bilgilerini çalmaktadır. Zararlı yazılımın tespiti ve engellenmesi, kullanıcıların yalnızca güvenilir yazılımları ve uzantıları kullanmaları, antivirüs ve güvenlik duvarı çözümleri ile ağları izlemeleriyle mümkün olacaktır.
Birlikte Güvende Olalım!
About the Author
