google'da üst sıralarda çıkan sahte açık kaynak sitelerinden malware yağıyor

Posted on 4 Haz 2026

arkadaşlar, yeni bir dolandırıcılık kampanyası var ve bu sefer işi sağlam yapmışlar. açık kaynak projelerin ve ücretsiz yazılımların sahte sitelerini yapıp google’da üst sıralara çıkarıyorlar. siz de masum masum “obs studio indir” diye arıyorsunuz, hop malware yüklüyorsunuz.

olay ne tam olarak

siber güvenlik araştırmacıları büyük çaplı bir operasyon tespit etmiş. saldırganlar meşhur açık kaynak projelerin birebir kopyası siteler yapıyorlar. siteler öyle güzel tasarlanmış ki, ilk bakışta orijinalinden ayırt edemiyorsunuz. sonra ne yapıyorlar? bir tane Traffic Distribution System (TDS) denen altyapı kurmuşlar. siz sahte siteden “indir” dediğinizde, sistem sizi analiz ediyor ve uygun malware’i gönderiyor.

spoiler: dağıttıkları malware’ler arasında Remus Stealer, AnimateClipper ve SessionGate framework var. yani şaka değil, ciddi işler bunlar.

hangi projeler hedefte

saldırganlar popüler açık kaynak araçları taklit ediyorlar:

Proje TürüÖrnekler
Video/Ses AraçlarıOBS Studio, Audacity
Geliştirici AraçlarıPython, Node.js, Git
Sistem AraçlarıVirtualBox, 7-Zip
Güvenlik AraçlarıWireshark, Nmap

basically her popüler açık kaynak proje risk altında. google’da arama yapınca üst sıralarda çıkıyorlar çünkü SEO’yu da iyi yapmışlar.

teknik detaylar

TDS (Traffic Distribution System) mantığı:

saldırganlar trafiği şöyle yönetiyor:

  • kullanıcının IP’sini, tarayıcısını, işletim sistemini analiz ediyorlar
  • güvenlik araştırmacısı mı, normal kullanıcı mı diye bakıyorlar
  • VM’de mi çalışıyor, sandbox mı diye kontrol ediyorlar
  • eğer “temiz” bir kurban görürlerse, malware indirme linkine yönlendiriyorlar
  • değilse, orijinal projeye redirect ediyorlar (akıllıca)

dağıtılan malware’ler:

  1. Remus Stealer: klasik infostealer. tarayıcı şifreleri, cookie’ler, kripto cüzdan bilgileri çalıyor.

  2. AnimateClipper: clipboard hijacker. kripto para adresi kopyaladığınızda, saldırganın adresini yapıştırıyor. yani bitcoin gönderirken dikkat.

  3. SessionGate Framework: daha sofistike bir backdoor. uzaktan erişim, komut çalıştırma, veri sızdırma… tam paket.

kendinizi nasıl korursunuz

agalar, şu kurallara uyun:

1. resmi kaynaklardan indirin:

# YANLIŞ: google'da "obs studio indir" diye arama
# DOĞRU: direkt obsproject.com'a gidin

# github'dan indirirken de dikkat
# URL'nin github.com olduğundan emin olun
# githab.com, github.io gibi şeylere kanmayın

2. URL’leri iki kez kontrol edin:

  • obsproject.com ✅ doğru
  • obs-project.com ❌ sahte olabilir
  • obsproject-download.com ❌ kesin sahte
  • obsproject.net ❌ şüpheli

3. hash kontrolü yapın:

# indirdiğiniz dosyanın hash'ini kontrol edin
# resmi sitede verilen hash ile karşılaştırın

# linux/mac:
sha256sum indirilen-dosya.exe

# windows (powershell):
Get-FileHash indirilen-dosya.exe -Algorithm SHA256

4. tarayıcı eklentileri kullanın:

  • uBlock Origin: kötü siteleri engelliyor
  • HTTPS Everywhere: güvenli bağlantı zorluyor

5. DNS filtreleme:

# nextdns veya cloudflare'in malware filtreli DNS'ini kullanın
# cloudflare malware blocking DNS:
# 1.1.1.2
# 1.0.0.2

şirket ağında ne yapmalı

sistem yöneticisi arkadaşlar, bunları yapın:

1. DNS filtreleme:

# şirket DNS'inde threat intelligence feed kullanın
# cisco umbrella, quad9 gibi servisler işinizi görür

2. proxy/firewall kuralları:

  • yeni kayıtlı domainleri engelleyin (30 günden yeni)
  • executable indirmeleri loglamayın, analiz edin
  • TLS inspection yapın (yasal uygunluk varsa)

3. kullanıcı eğitimi:

  • çalışanlara “resmi siteden indir” kuralını öğretin
  • phishing simülasyonu yapın
  • IT’den onay almadan yazılım yüklemeyi yasaklayın

4. endpoint protection:

# EDR çözümü kullanın
# infostealer davranışlarını tespit edebilen bir şey olsun
# örnek davranışlar:
# - tarayıcı veritabanlarına erişim
# - clipboard monitoring
# - kripto cüzdan dosyalarını okuma

bu saldırıyı nasıl tespit edersiniz

eğer sisteminizde şüphe varsa:

1. network trafiğini kontrol edin:

# wireshark veya tcpdump ile
# şüpheli C2 bağlantılarına bakın
sudo tcpdump -i any -n 'tcp port 443' -w capture.pcap

# sonra wireshark'ta analiz edin
# TLS handshake'lere, şüpheli IP'lere dikkat

2. process monitoring:

# linux:
ps aux | grep -E "python|node|powershell"
lsof -i -P -n

# windows (powershell):
Get-Process | Where-Object {$_.Path -like "*AppData*"}
Get-NetTCPConnection | Where-Object {$_.State -eq "Established"}

3. dosya sistemi değişikliklerini kontrol edin:

# linux:
find /home -type f -mtime -1  # son 24 saatte değişen dosyalar

# windows:
# autoruns kullanın (sysinternals)
# startup'a eklenen şüpheli programlara bakın

4. tarayıcı extension’larını kontrol edin:

çoğu malware tarayıcıya extension yüklüyor. kontrol edin:

  • Chrome: chrome://extensions
  • Firefox: about:addons
  • Edge: edge://extensions

tanımadığınız, yeni yüklenmiş extension var mı?

saldırıya uğradıysanız

panik yapmayın, şunları yapın:

1. ağ bağlantısını kesin:

# hemen internetten ayırın
# linux:
sudo ip link set eth0 down

# windows:
# network adapter'ı disable edin

2. şifreleri değiştirin:

  • ama enfekte makineden değil!
  • başka bir temiz cihazdan tüm önemli şifreleri değiştirin
  • özellikle: email, banking, kripto exchange

3. kripto cüzdanlarını boşaltın:

  • eğer kripto paranız varsa, hemen başka cüzdana transfer edin
  • AnimateClipper varsa clipboard’unuz güvende değil

4. sistem formatı:

# en garantisi tam format
# ama önce önemli dosyaları yedekleyin
# (kişisel dosyalar, malware değil!)

# linux live usb ile boot edin
# disk'i tamamen silin:
sudo dd if=/dev/zero of=/dev/sda bs=1M status=progress
# sonra temiz kurulum

5. 2FA açın:

  • tüm hesaplarda iki faktörlü doğrulama aktif edin
  • şifre çalınsa bile hesap güvende olsun

ioc’ler (indicators of compromise)

eğer SIEM veya threat hunting yapıyorsanız, bunlara bakın:

şüpheli davranışlar:

  • yeni indirilen executable’lar hemen çalışıyor
  • tarayıcı profil klasörlerine erişim
  • %APPDATA% veya /tmp klasörlerinde şüpheli dosyalar
  • scheduled task veya cron job oluşturma
  • registry’de autorun key’leri (windows)

network ioc’leri:

  • yeni kayıtlı domainlere bağlantı (whois yaşı < 30 gün)
  • TLS sertifikası olmayan veya self-signed sertifikalı bağlantılar
  • C2 sunuculara periyodik beacon’lar

sonuç

agalar, bu kampanya ciddi ve yaygın. google’ın bile SEO algoritmasını bypass etmişler. o yüzden:

  1. her zaman resmi siteden indirin
  2. URL’yi iki kez kontrol edin
  3. hash doğrulaması yapın
  4. antivirus/EDR kullanın
  5. şüphelenirseniz, indirmeyin

edit: bu tür saldırılar giderek artıyor. supply chain attack’lerin bir türü bu. dikkatli olun, kullanıcılarınızı eğitin.

dikkat: eğer şirket ortamındaysanız, IT politikası olmadan yazılım yüklemeyin. sonra hem siz hem şirket zarar görür.

kaynaklar

Bu içerik yapay zeka tarafından oluşturulmuştur.