btbilgi

Dünyanın en yaygın ve inatçı botnet ağlarından biri olarak bilinen Emotet, son altı aydır kendinden pek bahsettirmiyordu. 2020 yılı Şubat ayında bir anda tüm faaliyetleri sonlanan zararlı yazılımın neden birdenbire ortadan kaybolduğuna dair bazı teoriler ortaya atılmış. Bazı siber güvenlik uzmanları Emotet’i kontrol edenlerin hapse girdiğini veya COVID-19 hastalığına yakalandığını iddia etmekte. Bazıları ise suçluların kötü niyetli yazılım sayesinde kazandıkları paralar ile emekliliği tercih ettiklerini öne sürüyorlar.

Emotet geçtiğimiz yıllar boyunca karşılaşılmış en zararlı Truva atlarından ve ne yazık ki 17 Temmuz’da yeniden harekete geçtiği saptanmış durumda. Emotet’i Şubat 2020’de tüm spam ve botnet aktivitelerini sonlandırdığından beri takip etmekte olan SophosLabs araştırmacıları, bu durumun kendilerini şaşırtmadığını aktarıyorlar. Daha önce yazılım ve etkileri ile ilgili raporlar yayımlayan firma, bu ortadan kaybolmanın geçici olduğunu tahmin ediyormuş zaten.

Yazılım geri dönerken yanında yeni yöntemler getirmiş. Ama ana saldırı vektörü bilinenle aynı. Kullanıcılar tanıdığı (veya yabancı) bir göndericiden, ekinde Microsoft Office dosyası olan bir e-posta alıyor. Dosyayı açmaya çalışınca, kullanıcıdan bazı ek izinler isteniyor. Bu izinler verilirse yazılım bilgisayarda zararlı kod çalıştırmaya başlıyor.

Emotet’in artık farklı yaptığı ise, yazılımın sisteme ilk girişi yapmasını sağlayacak dosyanın kullanıcı tarafından açıldığına emin olmak için yeni bir tekniğe başvuruyor olması. E-posta ekinde gönderilen dosyanın komut fonksiyonlarını etkinleştirmek için, dosyanın iOS işletim sistemiyle oluşturulduğu ve Windows ile uyumunu sağlamak için bazı ek izinlere ihtiyaç duyulduğu şeklinde bir mesaj veriliyor. Kullanıcının gayet ikna edici görünen bu yalana inanma ihtimali oldukça yüksek denilmekte.

Rapora göre bu yazılımı çok tehlikeli yapan şey sadece hırsızlık amacıyla geliştirilmiş bir yazılım olmakla kalmayıp, diğer pek çok zararlı yazılımın sistemlere girmesine yardımcı olan bir aracı gibi davranması. Bunu da, bulaştığı sistemlerde firewall üzerinde açtığı şifreli kanallarla ağ tabanlı savunma mekanizmalarını devre dışı bırakarak gerçekleştirdiği belirtilmiş. Böylece küçük bir Truva atının sisteme girişiyle başlayan süreci hızla tehdide dönüştürmek yerine, saldırıyı adım adım kurgulayıp işleri geri döndürülemeyecek bir noktaya getirene kadar bekledikten sonra harekete geçmeyi tercih ediyor.

Güvenlik uzmanları Emotet’den korunmak gelen e-postaların ekinde yer alan dosyaları açmadan önce, mesajın gerçekliğinden emin olmak için göndericiyle iletişime geçilmesini tavsiye ediyor. Kullanıcının ekteki dosyayı hemen açmasını isteyen e-postalardan, özellikle de dosyayı açmaya çalışınca komut dosyası yazma işlemi gibi gelişmiş özelliklerin etkinleştirilmesi taleplerinden de şüphelenilmesi gerekli.

Yorumlar
btbilgi
PAYLAŞ
blank
xTRlarge, Türkiye'nin (TR) üretici ve yenilikçi potansiyelini sergilemek; farklı bakış açılarını, yeni tarzları, x sayıda yeni değeri, girişimi, fikri yansıtmak; teknolojiden doğaya, iş yönetiminden tasarıma, insana dair faaliyetlerin en geniş ufkunu sizlerle mümkün olduğu kadar geniş 'large" paylaşabilmek için yola çıktı. Geleceğe inancı olanlarla birlikte mesafe katetmeyi planlıyor.