Korona Virüsü Dijital Sistemleri Hack’lemek için Oltaya Yem Oldu!

Arka Kapı Dergi - [email protected]

Siber korsanlar dünyanın gündemine oturan KoronaVirüs salgınını fırsat bildiler: Kullanıcıların parola, kredi kartı, kripto para anahtarları gibi kritik verilerini çalmak için kolları sıvadılar! Saldırganlar mobil uygulamalar, web uygulamaları, masaüstü uygulamaları ile bir şekilde dijital kullanıcıların cihazlarında erişiyor ve dilediği bilgileri topluyor! Bu yazımızda bir web sitesi üzerinden kullanıcıları oltalayarak/kandırarak bilgisayarlarına bir arka kapı bırakma derdinde olan saldırganların kullandığı örnek bir oltalama saldırısını ele alıyor olacağız.

KoronaVirus Map

Öyle sanıyorum ki bugün hemen hemen tüm internet kullanıcısı yukarıdaki görseli tanıyacaktır. Evet, dünya genelinde hangi ülkelerde kaç kişinin Corona’dan etkilendiğinin haritasını çıkartan bir web sitesine ait ekran görüntüsü bu görsel.

Zeki, fırsatçı saldırganların bu örnek saldırıdaki olay kurgusu şöyle planlanmış: Kurban, Korona virüsünün nerede ne düzeyde etkisinin olduğunu görmek için ilgili siteyi ziyaret eder. Bu esnada saldırgan, kullanıcıyı zararlı bir yazılımı indirip çalıştırması için kandırır/oltalar. Bu kötücül yazılım (malicious) arka planda kullanıcıların bilgilerini çalmak için tasarlanmış, işinde oldukça başarılı özel bir yazılımdır! Bu virüsün tehlike boyutu, nelere yol açtığı ve nasıl temizlenebileceği gibi detayları aşağıda paylaşıyor olacağız.

Bahsedilen zararlı, ilk önce MalwareHunterTeam tarafından geçtiğimiz haftalarda tespit edildi. Sonrasında Reason Lab’ta bir siber güvenlik araştırmacısı olan Shai Alfasi tarafından analiz edildi.

Eski virüs, yeni tehdit:

Bu kötücül yazılım (malicious) nedir, derseniz; kullanıcıların bilgilerini çalmak için tasarlanan, AZORult adlı bu yazılım, 2016 yılında keşfedilen eski, kötü amaçlı yazılımlardan birisidir.

Bu zararlı yazılım neler yapar, tehlike boyutu nedir?

AZORult olarak adlandırılan bu kötü amaçlı yazılım, browser’larda – web tarayıcılarında saklanan bilgileri, özellikle çerezleri, tarama geçmişlerini, kullanıcı kimliklerini, şifreleri ve hatta kripto para anahtarlarını toplar ve virüsü yayan kaynağa gönderir! Öyle ki tarayıcılardan toplanan bu verilerle korsanların, oltaladıkları kurbanların kredi kartı numaralarını, sitelere giriş (kullanıcı adı ve parola) bilgilerini ve diğer çeşitli hassas bilgilerini çalmaları da mümkündür!

AZORult adlı bu zararlı yazılımın, Rus yeraltı forumlarında bilgisayarlardan hassas veri toplama aracı olarak tartışıldığı bildiriliyor. Uzak masaüstü protokolü (RDP) aracılığıyla bağlantıları etkinleştirmek için virüsün bulaştığı bilgisayarlarda gizli bir yönetici hesabı oluşturabilen bir özellikle birlikte gelir. Yani bu virüs bilgisayarınıza bulaştı ise artık bilgisayarınıza sizden başka birisinin de erişimi var ve siz bu gizli yöneticiyi (normal şartlarda) göremezsiniz ama o, siz online olduğunuz müddetçe istediği zaman bilgisayarınıza bağlanabilir!

Örnek analiz:

Bu zararlı yazılım genellikle, Corona-virus-Map.com.exe olarak adlandırılan bir dosyaya gömülüdür. Dosya boyutu, 3.26 MB olan küçük bir Win32 EXE dosyasıdır.

Dosyaya çift tıklandığında, COVID-19’un yayılması hakkında çeşitli bilgiler gösteren bir pencere açılır. Bu ekranda rapor edilen CoronaVirus vakalarını gerçek zamanlı olarak görselleştirmek ve izlemek için yasal, çevrimiçi bir kaynak olan Johns Hopkins Üniversitesi tarafından barındırılan benzer bir “enfeksiyon haritası” yer alır.

Ölümler ve geri kazanım istatistikleri sağda iken, farklı ülkelerdeki teyit edilmiş vakaların sayısı sol tarafta gösterilmektedir. Pencerenin etkileşimli olduğu ve ilgili diğer bilgilerin sekmelerinin ve kaynaklara bağlantıların olduğu görülmektedir.

Profesyonel arayüz, gerçek veriler:

Bu uygulama profesyonel bir kullanıcı arayüzüne sahiptir ki pek çok kişi, bu programın zararlı bir yazılım olduğundan (görsel açıdan) şüphelenmeyecektir. Programda paylaşılan veriler, rastgele veriler değil, Johns Hopkins web sitesinden toplanan gerçek COVID-19 bilgileridir.

Korsanlar, güvenlikçilerin işini zorlaştırmak istemişler:

Korsanlar bu kötü amaçlı yazılımı tasarlarken, güvenlik araştırmacıların tespit etmesini ve analiz etmesini zorlaştırmak için çoklu alt işlem tekniği ile birlikte bazı paketleme katmanlarını kullanmışlar. Ayrıca, çalışmaya devam edebilmesi için bir görev zamanlayıcısı da eklemişler.

Virüsün İzleri:

Corona-virus-Map.com.exe dosyasının çalıştırılması, Corona-virus-Map.com.exe dosyasının ve birden çok Corona.exe, Bin.exe, Build.exe ve Windows.Globalization.Fontgroups kopyalarının oluşturulmasına neden olur.

Ayrıca, bu kötü amaçlı yazılım, ZoneMap ve LanguageList altında bazı kayıtları da değiştirir ve bazı muteks’ler – zaman uyumu sağlayıcıları da oluşturur.

Örnek dosyalar:

Bilinen bazı örnek dosyalar şöyledir: Bin.exe, Windows.Globalization.Fontgroups.exe ve Corona-virus-Map.com.exe. Bunlar sadece birkaç örnektir. Kötü amaçlı yazılımlar bilgisayarlardan toplamaya çalıştığı bilgilere göre çeşitli network – ağ iletişimleri de kurarlar.

Teknik detaylar ise şöyle:

Bilgiler nasıl çalınır?

Alfasi, Reason Security blogundaki bir blog gönderisinde kötü amaçlı yazılımları nasıl incelediğine dair ayrıntılı bir açıklama paylaştı.

Öne çıkan bir detay, Ollydbg ile Bin.exe sürecinin analizi. Buna göre, işlem bazı dinamik bağlantı kitaplıkları (DLL) yazdı. DLL “nss3.dll” farklı aktörler ile tanıştığı bir şey olarak dikkatini çekti.

AZORult-on-Windows

Alfasi, nss3.dll ile ilişkili API’lerin statik olarak yüklendiğini gözlemledi. Bu API’lerin, kaydedilen parolaların kriptosunu çözmenin yanı sıra çıktı verilerinin oluşturulmasını kolaylaştırdığı ortaya çıktı. Bu, veri hırsızları tarafından kullanılan yaygın bir yaklaşımdır. Nispeten basit, yalnızca etkilenen web tarayıcısından giriş verilerini yakalar ve C:\Windows\Temp klasörüne taşır. Kötü amaçlı yazılımın veri ayıkladığı, virüslü bilgisayarın benzersiz bir kimliğini oluşturduğu, XOR şifrelemesini uyguladığı ve ardından C2 iletişimini başlattığı bir AZORult saldırısının ayırt edici özelliklerinden biridir. Kötü amaçlı yazılım, Telegram ve Steam gibi yaygın çevrimiçi hesaplardan giriş verilerini çalmak için belirli çağrılar yapar.

Bir kez çalıştırmış olmanız yeterli:

En önemli noktalardan birisi bu kısım, bu kötü amaçlı yazılımı bir kez çalıştırmanız halinde, virüs bilgisayarınıza bulaşmış oluyor ve yukarda paylaştığımız gibi şifreleriniz, kredi kartı bilgileriniz, ziyaret ettiğiniz siteler çalınır, tüm bunlar yetmezmiş gibi bir de bilgisayarınızda gizli bir uzaktan erişim kullanıcısı oluşturulur. Tüm bunlar için bu uygulamayı indirip, bir kez çalıştır, demiş olmanız yeterlidir!

Nasıl temizlenir?

Makalenin orjinal kaynağına göre Alfasi’nin bu virüsü temizleme ve daha fazla saldırıyı önlemek için çözüm önerisi, Reason Antivirus yazılımını kullanmaktır. (Ne de olsa Reason Security’ye bağlı) ve ne de olsa, bu yeni tehdidi ilk bulan ve inceleyen onlardır, böylece etkili bir şekilde ele alabilirler, diye yorumlanıyor.

Virüsü temizlemek için Reason Antivirus programını kullanmak şart mı?

Olmayabilir, bu konuda net bir şey söylemek güç. Diğer virüs programları da fark edip, gerekli aksiyonu alabilir ya da almanız için sizi yönlendirebilir. Bu zararlı yazılım oldukça yeni olduğu için, eğer bir lisanslı anti-virüs programına sahipseniz, ilgili antivirüs şirketi ile iletişim kurarak yardım isteyebilirsiniz.

Manuel olarak tespit edilip, kaldırılabilir mi?

Teknik olarak, evet fakat bu oldukça zaman ve emek isteyen bir çalışma olacaktır, özellikle “sıradan” kullanıcılar için oldukça zor bir işlemdir.

Saldırı türü nedir?

Kurbanların kandırılarak, bu zararlı yazılımın indirilmiş ve çalıştırışmış olmasından dolayı bu saldırı türü, phishing – oltalama saldırısı olarak tanımlamaktadır. En sık karşılaşılan saldırı türlerinden birisidir ve görece en tehlikelisidir çünkü tabiri caizse kendi elinizle kendi ayağınıza sıkmış olursunuz, kendi kullanıcı yetkilerinizle çalıştırdığınız için muhtemelen admin en yetkili kullanıcı ile çalıştırılmış oluyor.

Herkese geçmiş olsun diyor,

Sağlıklı ve güvenli günler diliyoruz!

Kaynaklar: