Yazılar

Yeni zararlı yazılım Suriye’deki muhalifleri hedef alıyor

yeni-zararli-yazilim-suriyedeki-muhalifleri-hedef-aliyor-1030x701 Yeni zararlı yazılım Suriye’deki muhalifleri hedef alıyorZararlı yazılımlar hükümetlerin uzun zamandır kullandığı bir siber savaş silahı. Araştırmacılar ise Suriye’deki muhalifleri hedef alan yeni bir zararlı yazılımın izini buldu.

Zararlı yazılım kendini gizlemek için bazı teknikler kullanıyor. Dağıtımı ise genellikle sosyal mühendislik yoluyla karşıdaki kişiyi kandırarak dosyayı açması üzerine kurulu. Zararlı yazılımın dosyaları aktivistlerin web sitelerinde ve sosyal ağ forumlarında dolaşım halinde.

Zararlı yazılım RAT adı verilen uzaktan erişim trojanları kategorisinde değerlendirilebilir. Beşşar Esed yanlısı kişiler tarafından oldukça organize ve sistematik biçimde muhaliflerin bilgisayarlarına bulaştırılıyor. Burada kullanılan sosyal mühendislik argümanlarından biri “Suriye rejimi elinde bulunan kimyasal silahlara dair delil olabilecek dokümanlar” olduğu. Elbette bu sahte dokümanlar zararlı yazılım içeriyor.

Suriye’deki rejim yanlıları aynı zamanda Youtube üzerinden de bu zararlının dağıtılmasına aracılık ediyorlar. Bazı videolardaki linkler yardımıyla WhatsApp, Viber gibi popüler uygulamaların trojanlı versiyonları dağıtılıyor. Şu ana kadar 110 zararlı yazılım, 20 dağıtım yapılan alan adı ve 47 IP adresi tespit edilmiş durumda.

Saldırganlar enfekte olan sistemlerden kullanıcı adı/şifreler, sosyal ağ hesapları, Skype bilgileri gibi çok sayıda bilgiyi elde ediyorlar. İşin ilginç kısmı saldırı vektörü Suriye olarak belirlenmiş olsa da dışarıdaki ülkeler de bu zararlı yazılımdan etkileniyor.

Etkilenen ülkeler;

1. Türkiye
2. Suudi Arabistan
3. Lübnan
4. Filistin
5. Birleşik Arap Emirlikleri
6. İsrail
7. Fas
8. Fransa
9. ABD

Zararlı yazılımın tuzağına düşen kurban sayısının 10 binin üzerinde olduğu biliniyor. Özellikle Türkiye gibi Suriye’deki Beşşar Esed karşıtı kitle ve sığınmacıların olduğu bir yerde tehdit bize yönelikte ilerlemeye devam ediyor.

njRAT tüm bölgeyi tehdit ediyor

njrat-remote-access-trojan njRAT tüm bölgeyi tehdit ediyorYeni bir RAT (Remote Access Trojan) zararlı yazılımı browserda saklanan verileri çalıyor, tuş vuruşlarını kaydediyor ve webcamleri uzaktan aktive edebiliyor. Hedef ise Türkiye’nin de aralarında bulunduğu orta doğu ülkeleri.

Adına “njRAT” denilen zararlı yazılım özellikle devlet, telekominikasyon ve enerji sektöründe bulunan orta doğu ülkelerindeki hedefleri seçiyor. Analizlere göre saldırganlar “authorization.exe” adlı bir dosyayı Microsoft Word veya PDF formatında dosyalar içerisine gömerek ulaştırıyorlar. Dosyalar mail yolu ile geliyor. Fakat kurban dosyayı çalıştırdıktan sonra zararlı yazılım kendisini USB yoluyla dağıtabiliyor. Ayrıca bulaştığı ağa uzaktan erişim de sağlıyor.

Buna ek olarak tuş vuruşlarını kaydetmek, bulaştığı sistemlerin kameralarını kontrol etmek, şifrelerini çalmak, istenilen dosyaları göndermek/almak, registry üzerinde değişiklik gibi pek çok özellik zararlı yazılım ile birlikte aktive oluyor. Zararlı yazılım ağdaki bir sisteme bulaştıktan sonra saldırgan o sistem njrat-control-anel njRAT tüm bölgeyi tehdit ediyorüzerinden tüm ağı tarıyarak diğer hedefleri tanımlayarak daha özellleştirilmiş saldırılar yapabiliyor.

 

njRAT uzaktaki bir yönetim merkezine (C&C sunucusu) bağlanarak şifreli olarak haberleşiyor, bilgi gönderiyor, komut alıyor. Her bulaştığı sistemi, ağı tanımlarken kullanılan farklı üretilmiş bir kod oluyor. Yönetim merkezi bulaştığı sistemlerin seri numaraları, sistem isimleri, sistem lokasyonlarını, işletim sistemi ismini ve versiyonlarını çekmeyi ihmal etmiyor.

njRAT zararlı yazılımını barındıran sunuculardan ikisi Vietnam ve İngiltere olarak belirlendi. Fakat bu gerçek orjin hakkında pek net bilgi vermiyor. Kaynak herhangi bir ülke olabilir.