Siber Guvenlik

Vergi Aramaları Üzerinden Yayılan Tehlike: ScreenConnect Fidye Yazılımı Saldırıları ve Huawei Sürücüsüyle EDR Devre Dışı Bırakma

Ocak 2026'dan beri süren büyük ölçekli bir malvertising kampanyası, vergi belgeleri arayan ABD'li kullanıcıları hedef alıyor. Saldırganlar, Google Reklamlarını kullanarak ScreenConnect yükleyicileri aracılığıyla 'HwAudKiller' adlı zararlı yazılımı sisteme sızdırıyor.

M
Mehmet SARI
16 görüntülenme
Vergi Aramaları Üzerinden Yayılan Tehlike: ScreenConnect Fidye Yazılımı Saldırıları ve Huawei Sürücüsüyle EDR Devre Dışı Bırakma

Vergi Sezonu Siber Güvenlik Risklerini Artırıyor: Yeni Nesil Saldırı Vektörü Ortaya Çıktı

Teknoloji ve siber güvenlik dünyasında, saldırganların yaratıcılığı sınır tanımıyor. Ocak 2026'dan bu yana aktif olan kapsamlı bir malvertising (kötü amaçlı reklamcılık) kampanyası, özellikle ABD'deki vergiyle ilgili aramalar yapan kullanıcıları hedef alarak yeni ve sofistike bir tehdidi gün yüzüne çıkardı.

Bu kampanya, meşru görünen Google Arama Ağı reklamlarını kullanarak kurbanları, popüler uzaktan erişim çözümü olan ConnectWise ScreenConnect'in sahte yükleyicilerine yönlendiriyor. Ancak bu yükleyiciler, kullanıcının bilgisi dışında, sisteme 'HwAudKiller' adlı kritik bir araç yerleştiriyor.

EDR Çözümlerini Bypass Etme Tekniği: BYOVD Kullanımı

HwAudKiller aracının en tehlikeli özelliği, güvenlik programlarını etkisiz hale getirme yönteminde yatıyor. Saldırganlar, BYOVD (Bring Your Own Vulnerable Driver - Kendi Güvenliği Açık Sürücünü Getir) tekniğini kullanıyor. Bu senaryoda, saldırganlar özellikle Huawei'ye ait olduğu düşünülen, ancak güvenlik açığı içeren bir sürücüyü sisteme enjekte ediyor.

Bu sürücünün kötüye kullanılmasıyla, zararlı yazılım, işletim sisteminin çekirdek seviyesinde (kernel level) çalışarak, kurulu olan tüm Uç Nokta Algılama ve Yanıt (EDR) çözümlerini sessizce devre dışı bırakabiliyor. EDR'nin devre dışı kalması, saldırganlara sistem üzerinde tam kontrol sağlıyor ve tespit edilmeden fidye yazılımı veya diğer yıkıcı yükleri konuşlandırmalarına olanak tanıyor.

  • Saldırı Vektörü: Google Arama Reklamları (Malvertising).
  • Hedef Yazılım: ConnectWise ScreenConnect'in sahte yükleyicileri.
  • Zararlı Yük: HwAudKiller.
  • Kaçınma Tekniği: BYOVD (Huawei Sürücüsü istismarı) ile EDR/Antivirüs devre dışı bırakma.

Bu tür sofistike saldırılar, yalnızca kullanıcıların değil, aynı zamanda BT yöneticilerinin de güvenlik duruşlarını yeniden değerlendirmesini gerektiriyor. Güvenlik yazılımlarının güncel tutulması ve şüpheli sürücü yüklemelerine karşı sıkı politikalar uygulanması bu tehditlere karşı temel savunma hatlarıdır. Şirketler, özellikle kritik iş süreçleri için kullanılan uzaktan erişim yazılımlarının resmi kaynaklardan indirildiğinden emin olmalıdır.

İlgili Yazılar