Malware on AI Günlük

lorem ipsum zararlısı artık clickfix yöntemiyle dağıtılıyor

Tue, 16 Jun 2026 17:17:36 +0300

arkadaşlar, lorem ipsum diye bir zararlı yazılım kampanyası var, biliyorsunuzdur belki. işte bu kampanya artık clickfix diye bir yöntemle dağıtılıyormış. dark reading’in yeni analizine göre bu iş vice society ransomware grubuyla bağlantılı olabilir. yani ciddi bir tayfa bu.

olay ne?

şöyle ki agalar, saldırganlar wordpress sitelerini ele geçiriyorlar (klasik hareket) ve ardından bu siteleri kullanarak lorem ipsum zararlısını yaymaya çalışıyorlar. ama bu sefer clickfix denen bir teknik kullanıyorlar. clickfix nedir diyenler için kısaca açıklayayım: kullanıcıyı kandırıp bir şeye tıklatıyorlar, sonra da zararlı yazılım sisteme bulaşıyor. sosyal mühendisliğin günceli yani.

haftalık özet: instagram hesap çalmaları, android sıfır-gün açığı ve github'da solucan

Mon, 08 Jun 2026 17:16:09 +0300

arkadaşlar, pazartesi günü yine geldi çattı. hafta sonu sessiz sakin geçecekti, öyle olmadı tabii. geçen hafta zehirli paketler, bozuk yapay zeka asistanları ve repoları talan eden solucanlarla doluydu. en çirkin yanı ise: en basit hileler hala işe yarıyor.

ne oldu ne bitti

şöyle özetleyeyim: bir chatbot kandırıldı, malware’in içinden bot tokeni sızdırıldı, aynı eski hatalar yine karşımıza çıktı. herkes gürültülü olayların peşinde koşarken, daha sessiz saldırganlar aylarca e-posta kutularında oturup mesajları okudular.

google'da üst sıralarda çıkan sahte açık kaynak sitelerinden malware yağıyor

Thu, 04 Jun 2026 17:16:57 +0300

arkadaşlar, yeni bir dolandırıcılık kampanyası var ve bu sefer işi sağlam yapmışlar. açık kaynak projelerin ve ücretsiz yazılımların sahte sitelerini yapıp google’da üst sıralara çıkarıyorlar. siz de masum masum “obs studio indir” diye arıyorsunuz, hop malware yüklüyorsunuz.

olay ne tam olarak

siber güvenlik araştırmacıları büyük çaplı bir operasyon tespit etmiş. saldırganlar meşhur açık kaynak projelerin birebir kopyası siteler yapıyorlar. siteler öyle güzel tasarlanmış ki, ilk bakışta orijinalinden ayırt edemiyorsunuz. sonra ne yapıyorlar? bir tane Traffic Distribution System (TDS) denen altyapı kurmuşlar. siz sahte siteden “indir” dediğinizde, sistem sizi analiz ediyor ve uygun malware’i gönderiyor.

forticlient ems'te aktif sömürülen açık, bilgi hırsızı malware dağıtılıyor

Fri, 29 May 2026 17:17:21 +0300

arkadaşlar, fortinet yine gündemde ama bu sefer kötü haberlerle. forticlient enterprise management server (ems) yazılımında CVE-2026-35616 numaralı bir authentication bypass (kimlik doğrulama atlama) açığı var ve aktif olarak sömürülüyor. saldırganlar bu açığı kullanarak ekz denen yeni bir credential stealer (kimlik bilgisi hırsızı) malware dağıtıyorlar.

ne oluyor yani?

şöyle ki, forticlient ems dediğimiz şey fortinet’in endpoint yönetim sunucusu. şirketler bunu kullanarak bilgisayarlarındaki forticlient vpn yazılımlarını merkezi olarak yönetiyorlar. saldırganlar bu CVE-2026-35616 açığını kullanarak kimlik doğrulamasını atlıyorlar ve sisteme sızıyorlar. sonra da ekz denen malware’i kuruyorlar.

laravel lang paketleri ele geçirilmiş, kimlik bilgisi çalan zararlı yayılmış

Sun, 24 May 2026 17:16:48 +0300

arkadaşlar, php laravel kullanan varsa hemen dinlesin. laravel lang diye popüler bir yerelleştirme (localization) paketi var, onu ele geçirmişler ve içine kimlik bilgisi çalan zararlı yazılım koymuşlar. github’daki version tag’lerini kötüye kullanarak composer üzerinden dağıtmışlar bu zararlıyı. ciddi ciddi kontrol edin projelerinizi.

ne olmuş yani?

saldırganlar laravel lang paketlerinin github deposuna sızmış. sonra ne yapmışlar? version tag’lerini manipüle ederek composer’a sahte sürümler yollamışlar. yani siz composer update dediğinizde meşru paket yerine zararlı paket gelmiş sisteminize. klasik supply chain attack yani, ama bu sefer hedef php/laravel ekosistemi.

hugging face'te sahte openai reposu, infostealer dağıtıyor

Sun, 10 May 2026 17:16:53 +0300

arkadaşlar, hugging face’te büyük bir olay dönmüş. sahte bir openai deposu, trending listesine kadar çıkmış ve windows kullanıcılarına infostealer malware dağıtmış. “privacy filter” diye bir proje gibi gösteriyorlar kendilerini ama aslında bilgisayarınızdaki her şeyi çalmaya çalışıyorlar.

olay ne tam olarak

hugging face’in trending listesine giren bir repo var, openai’ın resmi projesi gibi gösteriyor kendini. “privacy filter” adında bir şey olarak pazarlanmış. insanlar da “vay be openai yeni bir şey çıkarmış” diye indiriyorlar, ama içinden çıkan şey infostealer malware. yani kısacası: şifreleriniz, tokenlarınız, tarayıcı verileriniz, her şey gidiyor.

brezilyalı bankacılık truva atı tclbanker whatsapp ve outlook üzerinden yayılıyor

Sat, 09 May 2026 17:17:15 +0300

arkadaşlar, elastic security labs yeni bir brezilyalı bankacılık truva atı tespit etmiş. tclbanker diyorlar buna ve ciddi ciddi 59 farklı bankacılık, fintech ve kripto platformunu hedef alıyor. whatsapp ve outlook üzerinden solucan gibi yayılıyormuş.

ne var ne yok bu işte

elastic security labs’ın REF3076 koduyla takip ettiği bu kampanya, aslında maverick truva atının büyük bir güncellemesi. hatırlarsınız belki, maverick SORVEPOTEL denen bir solucan kullanarak yayılıyordu. işte tclbanker da aynı taktiği kullanıyor ama daha gelişmiş.

telegram mini apps üzerinden kripto dolandırıcılığı ve android malware dağıtımı

Mon, 04 May 2026 00:54:28 +0300

arkadaşlar, telegram’ın mini apps özelliği kötü niyetli tiplerin yeni gözdesi olmuş. siber güvenlik araştırmacıları büyük çaplı bir dolandırıcılık operasyonu tespit etmiş. telegram mini apps üzerinden kripto dolandırıcılığı yapılıyor, bilinen markalar taklit ediliyor ve android cihazlara malware bulaştırılıyormuş.

olay ne tam olarak

telegram’ın mini apps denen özelliği var ya, işte onu kullanarak saldırganlar sahte uygulamalar yapıp kullanıcıları kandırıyorlar. şöyle ki:

kripto yatırım platformları gibi görünen sahte uygulamalar
bilinen markaları taklit eden sahte sayfalar
android cihazlara malware yükleyen tuzak linkler

spoiler: bu operasyon küçük çaplı değil, geniş bir dolandırıcılık ağından bahsediyoruz.

macos kullanıcıları dikkat: infinity stealer denen yeni beladan korunma rehberi

Sun, 29 Mar 2026 08:01:59 +0300

arkadaşlar, macos dünyasında yeni bir misafir var: infinity stealer. python ile yazılmış, nuitka derleyicisiyle paketlenmiş bir bilgi hırsızı malware. “clickfix” denen kandırma yöntemiyle kurbanlarını avlıyormuş. mac kullanıyorum güvendeyim diyenlere gelsin, bu da sizin için.

ne oluyor yani?

şöyle ki, saldırganlar sahte hata mesajları göstererek kullanıcıları kandırıyor. “şu hatayı düzeltmek için bu komutu terminalde çalıştır” gibi bir şey söylüyorlar. klasik sosyal mühendislik. kullanıcı da “tamam düzeltelim” deyip kopyala-yapıştır yapınca, hop infinity stealer sisteme yerleşiyor.

webrtc ile csp'yi bypass eden yeni ödeme çalma malware'i

Fri, 27 Mar 2026 08:01:04 +0300

arkadaşlar, e-ticaret sitelerinde yeni bir malware türü keşfedilmiş. webrtc data channel’larını kullanarak hem payload yüklüyor hem de çaldığı kredi kartı bilgilerini sızdırıyor. en kötü tarafı da csp (content security policy) kontrollerini bypass ediyor.

olay ne tam olarak

sansec’in güvenlik araştırmacıları yeni bir payment skimmer (ödeme bilgisi çalan malware) bulmuş. klasik http istekleri veya image beacon’ları yerine webrtc data channel’larını kullanıyormuş. yani normal güvenlik kontrolleri bu trafiği görmüyor bile.

spoiler: bu malware özellikle e-ticaret sitelerini hedef alıyor. müşterileriniz ödeme yaparken kredi kartı bilgileri çalınabiliyor.

voidstealer chrome'un şifreleme korumasını debugger hilesiyle bypass ediyor

Mon, 23 Mar 2026 08:01:11 +0300

arkadaşlar, yeni bir bilgi çalıcı malware türemiş ortaya. voidstealer diyorlar buna. bu sefer iş biraz ciddi çünkü chrome’un application-bound encryption (abe) denen şifreleme korumasını atlatmayı başarmış. yani chrome’da kayıtlı şifreleriniz, çerezleriniz falan artık güvende değil bu malware sisteme girerse.

olay ne tam olarak

chrome, geçen sene abe diye bir koruma mekanizması getirmişti. mantığı şuydu: tarayıcıda saklanan hassas verileri (şifreler, çerezler, ödeme bilgileri) şifrelemek için bir master key kullanıyor ve bu anahtarı da sadece chrome’un kendi process’i okuyabiliyor. yani teoride bir malware gelip bu anahtarı çalamamalı.

54 edr killer aracı 35 imzalı sürücü açığını kullanarak güvenlik yazılımlarını devre dışı bırakıyor

Fri, 20 Mar 2026 08:02:21 +0300

arkadaşlar, ciddi bir durum var. güvenlik araştırmacıları 54 tane edr killer (yani güvenlik yazılımlarını öldüren) aracı incelemiş ve hepsi aynı numarayı kullanıyormuş: byovd (bring your own vulnerable driver - kendi açıklı sürücünü getir) denen teknik.

peki nedir bu byovd meselesi? şöyle ki, saldırganlar 35 tane imzalı ama açıklı windows sürücüsünü kullanarak sistem çekirdeğine (kernel) erişim sağlıyorlar. “imzalı” diyoruz çünkü microsoft’un dijital imzası var bu sürücülerde, yani windows bunlara güveniyor. ama içlerinde açık var işte, saldırganlar da bunu kullanıp edr yazılımlarını öldürüyorlar.

leaknet fidye çetesi clickfix ve deno runtime ile saldırıyor

Wed, 18 Mar 2026 08:02:47 +0300

arkadaşlar, leaknet diye bir fidye yazılımı çetesi var, bunlar işi biraz daha ileri götürmüş. clickfix denen sosyal mühendislik tekniğiyle kurumsal ağlara giriyorlar, sonra da deno runtime (javascript/typescript için açık kaynaklı bir ortam) tabanlı bir malware loader kullanıyorlar. yani klasik fidye çetesi hareketi değil bu, biraz daha teknik ve sinsi bir iş dönüyor.

olay ne tam olarak

leaknet çetesi şöyle çalışıyor: önce clickfix tekniğiyle kullanıcıları kandırıyorlar. clickfix dedikleri şey, sahte hata mesajları gösterip “düzeltmek için tıkla” diye kullanıcıyı tuzağa düşürmek. kullanıcı tıklayınca, sistem panoya kopyalanmış kötü niyetli powershell komutlarını çalıştırıyor. klasik “kullanıcı en zayıf halka” durumu yani.

interpol 45 bin kötü amaçlı ip adresini çöpe attı, 94 kişi içeri tıkıldı

Sat, 14 Mar 2026 08:02:42 +0300

arkadaşlar, interpol büyük bir operasyon gerçekleştirmiş. 72 ülke ve bölgeden katılımla yapılan bu operasyonda 45.000 kötü amaçlı ip adresi ve sunucu kapatılmış, 94 kişi de tutuklanmış. phishing, malware ve fidye yazılımı kampanyalarında kullanılan altyapılar hedef alınmış.

ne oldu yani?

interpol’ün cuma günü yaptığı açıklamaya göre, devam eden uluslararası bir operasyonun parçası olarak büyük bir temizlik yapılmış. siber suç şebekelerini çökertmek, yeni tehditleri durdurmak ve dolandırıcılık mağdurlarını korumak için yapılan bu operasyon ciddi boyutlarda.

hive0163 grubu yapay zeka destekli slopoly kötü yazılımı kullanıyor

Fri, 13 Mar 2026 08:02:25 +0300

arkadaşlar, siber güvenlik dünyasında yeni bir dönem başladı desek yeridir. hive0163 diye bilinen bir fidye yazılımı çetesi, yapay zeka kullanarak “slopoly” adında bir kötü yazılım geliştirmiş. yani artık chatgpt sadece ödev yapmıyor, kötü amaçlı yazılım da yazıyor.

ne oluyor yani?

siber güvenlik araştırmacıları, hive0163 grubunun yapay zeka destekli bir malware kullandığını tespit etmiş. slopoly denen bu yazılım, fidye yazılımı saldırılarında kalıcı erişim sağlamak için kullanılıyorsa. araştırmacılar “henüz çok etkileyici değil” diyor ama asıl mesele şu: yapay zeka sayesinde saldırganlar artık eskiden aylar süren malware geliştirme işini günlerde hallediyor.

blacksanta denen edr katili hr departmanlarını vuruyor

Wed, 11 Mar 2026 08:03:07 +0300

arkadaşlar, yeni bir tehdit var ortada ve bu sefer hedef hr departmanları. bir yıldan fazla süredir rus dilli bir saldırgan grubu, “blacksanta” adını verdikleri bir edr katili (edr killer) yazılımla saldırılar düzenliyor.

spoiler: bu yazılım, sistemlerde kurulu güvenlik çözümlerini (edr/antivirus) devre dışı bırakıyor, yani savunmasız kalıyorsunuz.

ne oluyor yani?

şöyle ki, saldırganlar önce hr departmanlarına hedefli phishing mailleri gönderiyor. içinde iş başvurusu, cv, özgeçmiş gibi görünen dosyalar var ama aslında bunlar blacksanta malware’ini sisteme bulaştırıyor.

haftalık özet: qualcomm sıfır-gün açığı, ios sömürü zincirleri ve havadan veri çalma

Tue, 10 Mar 2026 08:02:34 +0300

arkadaşlar, bir hafta daha geride kaldı ve yine “şaka mı bu?” dedirten haberlerle doluydu. saldırganlar mesaide, savunmacılar mesaide, ortada da pazartesi sabahı çok kötü geçiren bir sürü insan var. artık böyle işliyor bu iş.

ama iyi haber de var: bu hafta gerçekten kazanılan zaferler oldu. yani sahte değil, gerçek zaferler. iyi adamların ortaya çıkıp işi yaptığı, fark yarattığı türden.

qualcomm’da sıfır-gün açığı

spoiler: qualcomm yongalarında aktif olarak sömürülen bir sıfır-gün açığı var.

github üzerinden boryptgrab stealer dağıtılıyor, 100'den fazla repo var

Sun, 08 Mar 2026 08:02:43 +0300

arkadaşlar, github’da yeni bir malware kampanyası tespit edilmiş. boryptgrab diye bir stealer var, 100’den fazla sahte repository üzerinden dağıtılıyor. klasik sosyal mühendislik hareketi, open source proje gibi görünüyorlar ama içinde malware var.

ne var ne yok bu işte

boryptgrab isimli bu stealer şunların peşinde:

tarayıcı verileri (şifreler, çerezler, otomatik doldurma bilgileri)
kripto para cüzdanları (metamask, trust wallet falan)
sistem bilgileri
kullanıcı dosyaları

yani kısacası elinizde ne varsa almaya çalışıyor. özellikle kripto para cüzdanlarına göz dikmiş, o yüzden kripto işi yapanlar dikkat.

velvet tempest grubu clickfix ile termite fidye yazılımı dağıtıyor

Sun, 08 Mar 2026 08:01:59 +0300

arkadaşlar, velvet tempest denen fidye yazılımı grubu yine iş başında. bu sefer clickfix tekniğini kullanarak termite ransomware’i dağıtıyorlar. işin ilginç yanı, windows’un kendi araçlarını kullanarak donutloader ve castlerat denen arka kapıyı sisteme yerleştiriyorlar. klasik “meşru araçlarla kötü iş” hikayesi yani.

olay nasıl gelişiyor

velvet tempest grubu (microsoft’un storm-0875 dediği tipler), clickfix denen sosyal mühendislik tekniğini kullanıyor. şöyle ki:

kullanıcıya sahte bir hata mesajı gösteriyorlar
“sorunu çözmek için” bir düğmeye tıklamasını istiyorlar
tıklayınca aslında kötü niyetli powershell komutları çalışıyor
bu komutlar donutloader’ı indirip çalıştırıyor
sonra castlerat arka kapısı sisteme yerleşiyor
en sonunda termite fidye yazılımı devreye giriyor

spoiler: bütün bunlar windows’un meşru araçları (powershell, mshta, rundll32) kullanılarak yapılıyor, yani antivirüs atlatma şansları yüksek.

transparent tribe yapay zeka ile malware üretimine başlamış

Sat, 07 Mar 2026 08:02:45 +0300

arkadaşlar, pakistan merkezli transparent tribe diye bilinen hacker grubu artık yapay zeka kullanarak malware üretmeye başlamış. yani chatgpt benzeri araçlarla kod yazdırıp hindistan’a saldırıyorlar. bu işin kötü tarafı, artık “kitlesel orta kalite” implant üretimi yapıyorlar. kalite değil, kantite peşindeler.

spoiler: bu grup özellikle nim, zig ve crystal gibi az bilinen programlama dilleri kullanıyor. neden mi? çünkü antivirüsler bu dillerde yazılmış malware’lere pek alışık değil. üstüne üstlük discord, telegram gibi güvenilir servisleri command & control (c2) kanalı olarak kullanıyorlar. akıllıca hareket yani.

sloppylemming grubu pakistan ve bangladeş'i hedef almış

Wed, 04 Mar 2026 08:01:44 +0300

arkadaşlar, sloppylemming diye bilinen tehdit aktör grubu yine iş başında. bu sefer pakistan ve bangladeş’teki devlet kurumları ile kritik altyapı operatörlerini hedef almışlar. arctic wolf’un raporuna göre saldırılar ocak 2025’ten ocak 2026’ya kadar sürmüş.

spoiler: bu grup iki farklı saldırı zinciri kullanarak burrowshell ve rust tabanlı kötü amaçlı yazılımlar dağıtmış. yani klasik tek yöntemle gelmediler, çift taraflı oyun oynamışlar.

olay ne tam olarak

sloppylemming grubu, hedef sistemlere sızmak için iki ayrı attack chain (saldırı zinciri) kullanmış. birinci zincirde burrowshell denen bir malware var, ikinci zincirde ise rust programlama diliyle yazılmış başka bir zararlı.

quicklens denen chrome eklentisi kripto çalmaya başlamış

Sun, 01 Mar 2026 08:02:54 +0300

arkadaşlar, chrome web store’da 300 bin kullanıcısı olan “quicklens - search screen with google lens” denen eklenti ele geçirilmiş ve kripto çalmaya başlamış. google zaten mağazadan kaldırmış ama siz de bir kontrol edin sisteminizde var mı diye.

olay ne tam olarak

quicklens denen eklenti normalde ekran görüntüsü alıp google lens ile arama yapan masum bir şeymiş. ama 2026 şubat ayında birisi ele geçirmiş eklentiyi ve kötü amaçlı kod enjekte etmiş.

ivanti cihazlarında resurge malware'i uyuyor olabilir, cisa uyardı

Sat, 28 Feb 2026 08:01:46 +0300

arkadaşlar, cisa yeni bir uyarı yayınladı ve ivanti connect secure cihazlarınızı kontrol etmeniz gerekiyor. resurge diye bir malware var ve bu şey cihazlarınızda uyuyor olabilir, yani sessiz sakin oturuyor ama her an aktif hale gelebilir.

ne olmuş yani?

şöyle ki, cve-2025-0282 diye bir sıfır-gün açığı var ivanti connect secure cihazlarında. saldırganlar bu açığı kullanarak resurge diye bir implant yerleştirmişler cihazlara. spoiler: bu malware sessiz kalabiliyor ve standart taramalarla bile tespit edilemiyor.

apt28 yine avrupa'yı webhook'lu makro malware ile taciz ediyor

Tue, 24 Feb 2026 08:02:43 +0300

arkadaşlar, rusya bağlantılı apt28 grubu (fancy bear diye de bilinir) yine iş başında. bu sefer avrupa’daki kurumları hedef almışlar ve webhook tabanlı makro malware kullanmışlar. ispanyol güvenlik firması s2 grupo’nun lab52 ekibi yakalamış bu operasyonu.

ne olmuş yani?

“operation macromaze” adını vermişler bu kampanyaya. eylül 2025 ile ocak 2026 arasında aktif olmuş. batı ve orta avrupa’daki belirli kurumları hedef almışlar. spoiler: apt28 devlet destekli bir grup olduğu için hedefler rastgele değil, çok spesifik seçilmiş.

haftalık güvenlik özeti: skimmer'lar, yapay zeka sızıntıları ve 30tbps'lik ddos saldırısı

Tue, 24 Feb 2026 08:01:54 +0300

arkadaşlar, bu hafta güvenlik cephesinde yine durma yok. bir sürü olay üst üste gelmiş durumda. double-tap denen yeni skimmer tekniği, yapay zeka prompt’larını çalan promptspy, 30 terabit/saniye ddos saldırısı ve docker container’larına sızan malware’ler… kısacası normal bir hafta işte.

ne oldu bu hafta?

bu hafta güvenlik haberleri biraz daha karışık geldi. cihazlardan bulut servislerine, araştırma laboratuvarlarından günlük kullandığımız uygulamalara kadar her yerde bir şeyler dönüyor. normal davranışla gizli risk arasındaki çizgi iyice incelmiş durumda.

arkanix stealer denen yapay zeka destekli deneysel malware

Mon, 23 Feb 2026 09:27:51 +0300

arkadaşlar, 2025 sonu dark web forumlarında reklam yapılan “arkanix stealer” denen bir bilgi çalan malware varmış. ilginç olan tarafı: bu şey yapay zeka yardımıyla geliştirilmiş bir deney olarak ortaya çıkmış ve hızlıca batmış gitmişş.

ne olmuş yani

agalar, şöyle ki: 2025’in sonlarına doğru karanlık web forumlarında arkanix stealer diye bir info-stealer operasyonu boy göstermiş. klasik bilgi çalma işi yani - şifreler, çerezler, kripto cüzdanları falan. ama bu sefer işin içine yapay zeka girmiş.