Hacker'lar, Windows'u Bu Garip Yöntemle Hedef Aldı
Fark edilmek istemeyen saldırganların, Windows'lu PC'leri ele geçirebilmek için daha önce pek rastlamadığımız yeni bir tekniğe başvurduğu ortaya çıktı
Saldırganların gerçek gibi görünen dosyalar ve görev
zamanlayıcısı içerisinde gizlenerek yeni bir saldırı yöntemine
başvurduğu ortaya çıktı.
Huntress Labs'a göre bir sistemi ele geçiren
saldırganlar, Windows'un hata günlük dosyalarına benzer görünen bir
dosyayı kullanarak kod dosyası tabanlı saldırılara hazırlık
yapıyor. Huntress Labs'ın kurucusu ve başkan yardımcısı John
Ferrell, ilk bakışta bir uygulamanın günlük dosyası gibi görünen ve
OS 6.2 (Windows 8 ve Windows Server 2012'nin dahili sürüm numarası)
referansları bulunan dosyanın, aslında kötü niyetli olduğunu fark
ettiklerini söylüyor.
Sahte günlük dosyası, aslında gizlenmiş onaltılık değerler içeren ASCII karakterleri içerisinde barındırıyor. Bu sahte günlük dosyasının kodları çözüldüğünde, ortaya saldırganın elindeki komut ve kontrol sunucusuna bağlanmaya ve talimat almaya yarayan kod dosyası oluşuyor.
Ferrel'e göre veri, hedefteki sistemde oluşturulan bir zamanlanmış görev ile elde ediliyor. Burada da gerçek dosyalara benzeyen .exe dosyası isimleri kullanılıyor. Bunlar arasında geçmişte kötüye kullanıldığı bilinen mshta.exe'nın kopyası BfeOnService.exe ve powershell.exe'nin kopyası engine.exe bulunuyor. Bu araçları kötüye kullanarak sistemdeki web tarayıcısı, vergi yazılımı, güvenlik yazılımı ve PoS yazılımı hakkında bilgiler toplanıyor. Saldırganın bu saldırılarla neyi amaçladığı ise henüz bilinmiyor.