Genel Bakış
AgingFly, özellikle Chromium tabanlı tarayıcılar ve WhatsApp masaüstü uygulaması üzerinden kimlik doğrulama verilerini çalmayı hedefleyen yeni bir zararlı yazılım ailesidir. Bu yazılım, hedef sistemlerdeki hassas bilgileri ele geçirerek yetkisiz erişim sağlamayı amaçlamaktadır. Özellikle kritik altyapı hizmeti veren kurumlar için ciddi bir tehdit oluşturmaktadır.
Tespit ve Analiz
Sisteminizde AgingFly varlığını tespit etmek için öncelikle şüpheli süreçleri ve ağ trafiğini incelemeniz gerekmektedir. Zararlı yazılım, genellikle kullanıcı profili dizinlerinde gizli dosyalar oluşturarak çalışır.
- Süreç İzleme: Görev yöneticisi veya terminal üzerinden olağandışı CPU kullanımı yapan süreçleri listeleyin.
- Dosya Yolu Kontrolü: Chromium tabanlı tarayıcıların (Chrome, Edge, Brave) 'Local State' ve 'Login Data' dosyalarına erişim girişimlerini izleyin.
- Ağ Trafiği: C2 (Komuta Kontrol) sunucularına giden şüpheli HTTPS trafiğini analiz edin.
Çözüm ve Temizlik Adımları
Eğer sisteminizde AgingFly tespit edilirse, aşağıdaki adımları izleyerek temizlik işlemini gerçekleştirebilirsiniz:
# 1. Şüpheli süreci sonlandırın
taskkill /F /IM agingfly_process.exe
# 2. Zararlı dosyaları kaldırın
del /F /S /Q "%LOCALAPPDATA%\Google\Chrome\User Data\Default\*agingfly*"
# 3. Tarayıcı önbelleğini ve çerezleri temizleyin
# Tarayıcı ayarlarından tüm oturumları sonlandırın ve şifreleri sıfırlayın.Uyarı: Zararlı yazılımın çalmış olabileceği tüm hesap şifrelerini derhal değiştirin. Sadece yazılımı silmek, çalınan kimlik bilgilerinin güvenliğini sağlamaz.
Önleyici Tedbirler
Sistem güvenliğini artırmak için EDR (Endpoint Detection and Response) çözümlerini güncel tutun ve kullanıcıların tarayıcı verilerine erişimini kısıtlayan GPO politikaları uygulayın. Ayrıca, çok faktörlü kimlik doğrulama (MFA) kullanımı, çalınan kimlik bilgilerinin kötüye kullanımını engellemek için en etkili yöntemdir.
