btbilgi

Siber saldırı türleri arasında yer alan oltalama (phishing) saldırıları zaten yeterince kötü değilmiş gibi, siber suçlular bir de popüler konuları kullanıyorlar. Bu aralar en popüler konu da Koronavirüs olduğu için, aylardır arka arkaya bununla ilgili uyarılar geliyor. Tüm siber güvenlik firmaları COVID-19 hastalığını tema alan dolandırıcılık ve saldırılarla ilgili bilgiler veriyorlar. En sonuncusu ise, kötü niyetli Excel 4.0 makroları içeren e-postalarla ilgili uyarı yapan Microsoft oldu.

Microsoft’un Güvenlik İstihbaratı (Security Intelligence) ekibi, PC’lere uzaktan erişim araçları yüklemeye çalışan siber saldırganlarla ilgili bir rapor yayımladı. 12 Mayıs’ta aktiviteleri keşfedilen kimlik avı saldırılarında son zamanlarda hep gördüğümüz gibi COVID-19 salgın hastalığı kullanılıyor. Siber suçlular şimdiye kadar yüzlerce benzersiz eklenti ve dosya barındıran sahte oltalama e-postaları yollamışlar.

Kurbanlara yollanan e-postalar “WHO COVID-19 SITUATION REPORT” (DSÖ COVID-19 DURUM RAPORU) başlığını barındırıyor. ABD’nin ünlü sağlık merkezlerinden olan Johns Hopkins Center’dan geliyormuş gibi gösterilen e-postaların içinde çeşitli Excel dosyaları var. Kurban ekteki Excel dosyasını açmaya çalışırsa bir güvenlik uyarısı görüntüleniyor. Ardından ABD’de Koronavirüs vakalarının sahte bir grafiği kullanıcıya sunuluyor. Fakat arka planda bir Excel 4.0 makrosu devreye giriyor ve ‘NetSupport Manager’ı indirip çalıştırıyor.

NetSupport Manager aslında resmi ve yasal bir uzaktan erişim yazılımı. Fakat bu vakalarda siber saldırganlar tarafından güvenliği ihlal edilmiş bilgisayarlara uzaktan erişim sağlamak için kullanılmakta. Saldırganlar uzaktaki makineye erişince de onu bir komut ve kontrol (C&C) sunucusuna bağlıyorlar. Ardından arka planda çeşitli komutlar çalıştırıp, bilgisayarda istedikleri işlemleri gerçekleştirebiliyorlar.

Microsoft’un verdiği bilgiye göre, güvenlik ekibi kötü amaçlı yazılım kampanyalarında Excel 4.0 makro kullanımının son aylarda düzenli şekilde arttığını saptamış. Nisan ayında başladığı tahmin edilen operasyonlar, yüzlerce benzersiz ek dosya içinde gelişmiş formüller ve makrolar içeriyor. Makro çalıştıktan sonra, tüm dosyalar aynı URL’ye bağlanıp kötü niyetli yazılımları indirmekte.

Firma bunun yanında bir de 18 Mayıs’ta başladığı saptanmış, ‘kişisel Koronavirüs testi’ temalı yeni bir operasyonun da bilgilerini aktarmakta. Burada da yine kullanıcıların hastalık endişesindan faydalanılıyor ama arka planda popüler Trickbot kötü niyetli yazılımı bulunuyor.

Yorumlar
btbilgi
PAYLAŞ
blank
xTRlarge, Türkiye'nin (TR) üretici ve yenilikçi potansiyelini sergilemek; farklı bakış açılarını, yeni tarzları, x sayıda yeni değeri, girişimi, fikri yansıtmak; teknolojiden doğaya, iş yönetiminden tasarıma, insana dair faaliyetlerin en geniş ufkunu sizlerle mümkün olduğu kadar geniş 'large" paylaşabilmek için yola çıktı. Geleceğe inancı olanlarla birlikte mesafe katetmeyi planlıyor.