Bir tuzak: koronavirüs

Koronavirüse karşı duyulan korkunun kimlik avcıları tarafından şirketlere saldırı düzenlemek ve kötü amaçlı yazılım yüklemek için nasıl kullanıldığını sizlerle paylaşıyoruz.

Kötü amaçlı ekler içeren ve iş yazışmalarını taklit eden e-postalar hayatımıza yeni giren bir kavram değil. En azından son üç yıldır önemsiz trafik içerisinde bu durumu gözlemliyoruz. Sahtecilik ne kadar hassas yapılırsa, kurbanın hiçbir şeyden şüphelenmeme olasılığı da o kadar yüksek oluyor.

Bu kimlik avı yöntemi, mal satan şirketlerin çalışanları için özellikle tehlikelidir; teslimat talebi veya sipariş e-postaları işin temelinde yer alır. Sahte e-postaları tespit etmek için eğitim alan bir kişi bile bazı durumlarda, bir iletinin kimlik avı mı yoksa müşteriden gelen gerçek bir sipariş mi olduğunu anlamakta sorun yaşayabilir. Bu nedenle, ikna edici ve sahte e-posta sayısı giderek artıyor. Belirli bir amaç için tasarlandıkları ve hedeflenen adreslere gönderildikleri için geleneksel kötü amaçlı spam kadar sık görülmezler.

Bu geçen birkaç hafta içerisinde, yazdıkları iletilere daha da inandırıcılık kazandırmak isteyen dolandırıcılar koronavirüs salgınından faydalanıyor. E-postalar genellikle virüsle ilgili teslimat sorunlarından bahsediyor ve alıcıyı hangi teslimattan bahsedildiğini merak etmeye yönlendiriyor. Diğer durumlarda ise saldırganlar, normal iş ortaklarının malı zamanında teslim edemediğini öne sürerek taleplerinin acil olarak gerçekleştirilmesi gerektiğini söylüyor ve salgından yararlanıyor. Her durumda amaç, mağdurun kötü amaçlı bir eki açmasını sağlamaktır. Genellikle gönderim ayrıntılarını, ödeme verilerini, siparişi veya ürün bulunurluğunu kontrol etme talebi bahanesi içeren standart yöntemler kullanılır.

Aşağıda bu kimlik avı türüne ve ilgili risklere ilişkin bazı spesifik örnekler verilmiştir.

Gecikmeli teslimat

Dolandırıcılar, Covid-19 salgınının bir teslimatın ertelenmesine neden olduğunu belirtiyor. Güncellenmiş teslimat bilgilerini ve yeni talimatları ekliyorlar. Özellikle de teslimat süresinin uygun olup olmadığını soruyorlar, böylece alıcıyı ilk bakışta PDF formatında bir faturaya benzeyen ekli dosyayı açmaya yönlendiriyorlar.

Ancak o ekte, fatura yerine kötü amaçlı bir komut dizisi çalıştıran bir NSIS yükleyicisi bulunuyor. Komut dizisi daha sonra standart bir cmd.exe işlemi başlatıyor ve kötü amaçlı kodu çalıştırıyor. Bu şekilde kod, standart savunma mekanizmalarını atlayarak geçerli bir süreç bağlamında yürütülüyor. Nihai hedef kullanıcının eylemlerini gözetlemektir. E-posta güvenlik ürünlerimiz bu tehdidi Trojan-Spy.Win32.Noon.gen olarak tespit etmektedir.

Acil sipariş

Dolandırıcılar, koronavirüs salgını nedeniyle Çin’deki tedarikçilerinin teslimat yükümlülüklerini yerine getiremediklerini öne sürüyor. Mevcut koşullar düşünüldüğünde, bu durum yeterince inandırıcı geliyor. Müşterilerini hayal kırıklığına uğratmaktan kaçınmak için, alıcının çalıştığı şirketten (mektupta belirtilmeyen) bazı mallar için acil bir sipariş vermeyi düşünüyorlar. Hangi işletme böyle bir fırsata karşı koyabilir?

Ne sürpriz ki ekli dosyada böyle bir sipariş değil, Backdoor.MSIL.NanoBot.baxo virüsü yer alıyor. Başlatıldığında, (yine savunma mekanizmalarını atlatmaya çalışmak için) geçerli RegAsm.exe işlemi içinde kötü amaçlı bir kod yürütülüyor. Bu, saldırganların kurbanın bilgisayarına uzaktan erişebilmesini sağlıyor.

Başka bir acil sipariş

Bu örnek, yukarıdakinin bir başka çeşididir. Dolandırıcı yine hayali bir Çinli tedarikçinin teslimat sorunları yaşadığından bahsediyor ve ekli bir DOC dosyasında listelenen mallar için fiyat ve teslimat bilgisi talep ediyor.

DOC dosyasının kullanılmasının bir nedeni var. İçerisinde Microsoft Word’deki CVE-2017-11882 güvenlik açığını hedef alan bir saldırı bulunuyor (çözümlerimiz bunu Exploit.MSOffice.Generic olarak algılamaktadır). Açıldığında, Backdoor.MSIL.Androm.gen dosyası indirilir ve yürütülür. Amaç, tüm arka kapılarda olduğu gibi virüs bulaşmış sisteme uzaktan erişim sağlamaktır.

Kaybedecek zaman yok!

Bu şema, koronavirüs pandemisi nedeniyle iş akışı kesintileri yaşayan şirketlere (oldukça büyük ve halen büyümekte olan bir grup) yöneliktir. Dolandırıcılar, şirketin koronavirüs nedeniyle yaşanan aksama sonrası çalışmaya devam edebileceği yönündeki umudunu dile getirerek alıcıyı harekete geçirmeye zorluyor.

Ekte sipariş yerine Trojan.Win32.Vebzenpak.ern bulunuyor. Başlatıldığında, geçerli RegAsm.exe işlemi içinde kötü amaçlı kod yürütülüyor. Amaç yine, saldırganların güvenliği ihlal edilen makineye uzaktan erişebilmesini sağlamaktır.

Kötü amaçlı e-posta eklerinden nasıl korunur

Siber suçluların size bir ek içerisinde Truva atı ya da arka kapı göndermesini önlemek için şu ipuçlarını izleyin:

  • Ekli dosyaların uzantılarını dikkatli şekilde inceleyin. Yürütülebilir bir dosya ise, güvensiz olma olasılığı neredeyse %100’dür.
  • Gönderen şirketin gerçekten var olup olmadığını kontrol edin. Günümüzde, en küçük firmalar bile çevrimiçi bir ayak izine sahiptir (örneğin, sosyal medya hesapları). Hiçbir şey bulamazsanız hiçbir şey yapmayın; her iki durumda da, muhtemelen böyle bir şirketle iş yapmanıza değmeyecektir.
  • Gönderen alanındaki ve otomatik imzadaki ayrıntıların eşleşip eşleşmediğini kontrol edin. İlginç bir şekilde, dolandırıcılar genellikle bu ayrıntıyı göz ardı etmektedir.
  • Siber suçluların “şirketleri” için açık kaynaklardaki bilgileri kullanabileceğini unutmayın. Dolayısıyla, e-posta iyi niyetli gibi görünse bile, iletiyi gönderdiklerini onaylamak için şirkete ulaşın.
  • En önemlisi de, şirketinizin hem çalışma istasyonlarında hem de posta sunucusu düzeyinde güvenilir bir güvenlik çözümü kullandığından emin olun. Ayrıca, düzenli olarak güncellendiğini ve hızlı veri tabanları kullandığını da kontrol edin. Bu işlem yapılmadığında, özellikle de Office belgeleri açısından bir e-posta ekinin zararlı olup olmadığını belirlemek zor olabilir.
İpuçları