Hackerlar, Güvenilir Web Sitesinden Alınan Resimlerde Zararlı Yazılım Saklıyor

HP Wolf Security tarafından yayınlanan yeni bir rapor, kötü niyetli kodların masum görünen resimlere gömülerek meşru platformlar üzerinde barındırıldığı ve zararlı yazılım dağıtım taktiklerindeki alarmlı gelişmeleri vurgulamaktadır.

Öne çıkan bulgulardan biri, zararlı kodları görüntü dosyalarına yerleştiren malware kampanyaları ile ilgilidir. Bu resimler, şüphe uyandırmamak için güvenilir bir dosya paylaşım sitesi olan archive.org’a yüklendi. Bunu yaparak, hackerlar genellikle bir web sitesinin ününe dayanan ortak güvenlik önlemleri olan ağ filtrelerini atlatmayı başardılar.

Bu taktik kullanılarak yayılan iki tür kötü amaçlı yazılım vardı: VIP Keylogger ve 0bj3ctivityStealer. Her ikisi de parolalar ve kredi kartı bilgileri gibi hassas bilgileri çalmak üzere tasarlandı.

Hackerlar, işletmeleri kötü amaçlı ekleri indirmeye kandırmak için faturalar veya satın alma emirleri gibi davranan e-postalar gönderdiler. Bu ekler, açıldığında, bir zincirleme reaksiyonu tetikleyen dosyalar içeriyordu.

İşlem, archive.org’dan görünüşe göre zararsız bir görüntü dosyasının indirilmesini içeriyordu. Görüntünün içine kodlanmış zararlı yazılım gizlenmişti ve bu, kurbanın bilgisayarına kendiliğinden kurulacaktı.

Bu kampanyaya bağlı bir görüntü neredeyse 29.000 kez görüntülendi, bu da saldırının büyük ölçeğine işaret ediyordu.

Görüntü indirildikten sonra, bir kod parçası içerisinde gizlenmiş olan zararlı yazılımı çıkarır ve çözer. Zararlı yazılım, kurbanın cihazında çalışmaya başlar, tuş vuruşlarını kaydeder, şifreleri çalar ve hatta ekran görüntüleri alır. Saldırının sürekli olmasını sağlamak için, zararlı yazılım bilgisayarın kayıt defterini değiştirerek, bilgisayarın her açıldığında başlamasını sağlar.

Rapor, zararlı kodları görüntülerin içinde saklama yönteminin özellikle etkili olduğunu belirtiyor çünkü bu yöntem meşru platformları istismar eder, bu da geleneksel güvenlik araçlarının tespit etmesini zorlaştırır.

Araştırmacılar, bu olayların, her iki kampanyanın da kendi yüklerini yüklemek için aynı .NET yükleyiciyi kullanması gibi, kötü amaçlı yazılım kitlerini ve bileşenlerini yeniden kullanmanın verimliliğini vurguladığını belirtiyor. Bu modüler yaklaşım, tehdit aktörlerinin geliştirme sürecini sadeleştirmesine olanak sağlamanın yanı sıra, onların tespit edilmekten kaçınma tekniklerini geliştirmeye odaklanmalarına da izin verdi.

Kötü amaçlı kodların resimlere gömülmesi yeni bir taktik olmasa da, gizleme ve teslimat yöntemlerindeki ilerlemeler nedeniyle popülerliğinde bir artış gösteriyor. Rapor, bu tür sofistike tehditlere karşı koymak için gelişmiş uç nokta korumasına ve çalışanların farkındalık eğitimine ihtiyaç olduğunu vurgulamaktadır.

Siber suçlular, meşru araçları ve platformları kullanmaya devam ettikçe, bu rapor gelişen siber tehdit ortamının çarpıcı bir hatırlatıcısı olarak hizmet etmektedir. Güvenlik ekipleri, bu yeni tehditlerin oluşturduğu riskleri hafifletmek için dikkatli olmalı, önleyici önlemler almalı ve bilgilendirilmeli.