Ortadoğu ve Türkiye’deki kullanıcılar, siyasete yönelik haberler veya sosyal ağ forumları aracılığıyla paylaşılan kötü amaçlı yazılım tehdidine karşı uyarılıyor. Saldırganlar, kullanıcıların sıklıkla kullandıkları forumlara karşı olan güveninden, Suriye’deki çatışmalarla ilgili haberler konusundaki meraklarından ve siber güvenlik konusundaki farkındalık eksikliklerinden yararlanmak için sosyal mühendislik araçlarını kullanıyor.
Bilgisayarlara siber suçlular tarafından virüs bulaştırıldıktan sonra, saldırganlar kurbanların cihazlarları ve dosyaları üzerinde tam erişime ve kontrole sahip oluyorlar. En sık hedef alınan ülkeler Suriye, Türkiye, Lübnan ve Suudi Arabistan. Bu ülkelerdeki kurbanların sayısının yaklaşık 2.000 olduğu tahmin ediliyor.
Daha önce kullanıcıları gözetlemek amacıyla Suriye’de ve bu bölgede kullanılan birçok hileden bahseden ve Syrian malware (Suriye kötü amaçlı yazılımı) olarak adlandırılan programla ilgili bir rapor yayınlanmıştı. Ayrıca farklı ekiplerden ve çok sayıda kaynaktan gelebilecek saldırılar konusunda da uyarıda bulunulmuştu. Bu son uyarı ise, bazıları CyberArabs gibi bölgesel örgütler tarafından bildirilen ve aktivist sitelerde ve sosyal ağ forumlarında bulunan kötü amaçlı yazılım dosyalarıyla ilgili. Bir Uzaktan Yönetim Aracı (RAT) Trojanı’nın tam özellikli bir değişkeni altına gizlenen tüm dosyalar, bir kurbanın makine ve cihazlarının tam kontrolünü ele geçirme, tüm faaliyetlerini izleme ve tüm dosyalarına erişme yeteneğine sahip.
Kötü amaçlı yazılım yazarları, zararlı dosyalarını ulaştırabilmek ve kurbanları bu dosyaları çalıştırmaları için kandırabilmek amacıyla çok sayıda teknik kullanıyor. Syrian malware yazılımına ilişkin yüzlerce örneği analiz edilen ve siber suçlular tarafından kullanılan aşağıdaki sosyal mühendislik örneklerine özellikle dikkat çekilmek isteniyor:
- Skype’ınızı temizleyin! (kötü amaçlı yazılımı yüklemek amacıyla kullanıcılara Skype iletişimlerini “korumak ve şifrelemek” için bir temizleyici öneriliyor)
- SSL güvenlik açığınızı giderin (“SSL’nin zayıf yanlarını korumak ve gidermek için”)
- En son VPN sürümü için güncelleştirme yaptınız mı? (Anonimlik koruması için dünya çapında kullanılan güvenilir bir uygulama olan Psiphon adı kullanılmakta ancak gerçekte kötü amaçlı yazılım ulaştırılmaktadır)
- Telefon numaranızın izlenen numaralar arasında olup olmadığını kontrol edin
- Facebook hesabı şifreleme uygulaması
- En beğendiğiniz güvenlik ürünü nedir? (Kurbanların, gönderdikleri dosyalara güvenerek onları açmalarını sağlamak adına siber suçlular tarafından Kaspersky Lab markası kullanılmaktadır. Siber suçlular, Kaspersky’nin rootkit’leri tespit etmek ve engellemek amacıyla ücretsiz olarak sunduğu güçlü TDSSKiller aracını kendi kötü amaçlı yazılımlarıyla birlikte kendi kanalları üzerinden ulaştırmaktadır. Rootkit’ler sistemdeki kötü amaçlı yazılımın varlığını gizleyen programlardır; RAT ise bir rootkit olmadığından bu araç tarafından tespit edilmez).
thejoe.publicvm.com etki alanının çok sayıda örnekle bağlantısı var ve son zamanlarda muhtemelen en aktif olarak kullanılanı bu olmuş: büyük olasılıkla sayılarının, hedefli veya değil, binlerce olduğu tahmin edilen en çok sayıda kurbanı toplamış. Yukarıda belirtilen örneklerin bazılarının yanı sıra Joe’nun, yeni sosyal mühendislik videolarını paylaştığı ve “Devrimin Aslanları” adı altında kötü amaçlı yazılım dosyaları dağıttığı sahte bir Youtube kanalı kullanıyor.
Uzmanlar, bu saldırıların devam edeceğini ve hem nitelik hem de nicelik açısından gelişeceğini tahmin ediyor. Syrian malware olarak adlandırılan program, çoğunlukla sosyal mühendislik araçlarını kullanıyor ve zararlı değişkenlerin aktif gelişimine güveniyor. Yine de, dikkatle incelendiklerinde dosyaların çoğu gerçek yüzlerini çabucak ortaya çıkarıyor. Bölgedeki kullanıcılar, ne indirdikleri konusunda daha uyanık olmalı ve kendilerini kapsamlı bir güvenlik çözümü ile koruma altına almalı. Ayrıca kullanıcılar, yazılımları yalnızca güvenilir kaynaklardan ve resmi web sitelerinden indirmeye özen göstermeli.
Avea ve Samsung’dan Müthiş İşbirliği