Dijital saldırılar dünyayı tehdit ediyor

ESET, farklı organizasyonların hassas bilgilerini çalmaya çalışan dijital saldırılar tespit etti.

Antivirüs yazılım kuruluşlarından ESET, özellikle Pakistan’da farklı organizasyonların hassas bilgilerini çalmaya çalışan, hedefe yönelik dijital saldırılar tespit etti. ESET’in yaptığı incelemelere göre, tehdidin kökeni Hindistan’da.

 

Bu saldırıların iki yıldır devam ettiğini gösteren çeşitli ipuçları bulan ESET’e göre söz konusu kötü amaçlı yazılım, e-postalar ekindeki belgeler aracılığıyla yayıldı. Belge açılır açılmaz, kötü amaçlı kod, saldırıya uğrayan bilgisayar kullanıcısının haberi bile olmadan çalıştırılıyor. Bir başka bulaştırma biçiminde ise yine e-postayla dağıtılan Word ya da PDF belgeleri gibi görünen yürütülebilir Windows dosyalarından faydalanılıyor. Her iki durumda da, kurbanın şüphelenmemesi için kod yürütülürken kullanıcıya sahte belgeler gösteriliyor.

 

Hedef Pakistan



ESET Kötü Amaçlı Yazılım Araştırmacısı Jean-Ian Boutin, “Alıcıları kandırmak için farklı temalara sahip, çok sayıda farklı belge saptadık. Bu temalardan biri de Hindistan Silahlı Kuvvetleriydi. Bu dosyalar tarafından özellikle hangi bireyler ve kurumların hedef alındığına dair elimizde kesin bilgiler yok ama incelemelerimize dayalı olarak, Pakistan’daki bireylerin ve kurumların hedef alındığını varsayıyoruz. Örneğin sahte PDF dosyalarından biri, “pakistandefencetoindiantopmiltrysecreat.exe” adlı kendi kendine açılan bir arşiv ile gönderildi” dedi. ESET verileri, başka ülkelerle karşılaştırıldığında Pakistan’ın bu kampanyadan yüzde 79’luk bulaşma oranı ile ağır şekilde etkilendiğini gösteriyor.

 

Çeşitli veri çalma teknikleri kullanıyor



Kötü amaçlı yazılım, virüs bulaşan bilgisayarlardaki hassas verileri çalıyor ve bu verileri saldırganların sunucularına gönderiyor. Bu yazılım, tuş kaydedici program, ekran görüntüsü alma ve belgeleri saldırganların bilgisayarına yükleme gibi çeşitli veri çalma teknikleri kullanıyor. İlginç olan şey ise, virüs bulaşan bir bilgisayardan çalınan bilgilerin, saldırganın sunucusuna şifrelenmeden yükleniyor olmasıydı. Jean-Ian Boutin “Şifreleme kullanmama kararı kafa karıştırıcıydı. Çünkü temel şifrelemenin eklenmesi çok kolaydır ve operasyonun daha fazla gizli kalmasını sağlar" açıklamasını yaptı.

 

Hedefe yönelik saldırı



ESET’in tespitlerine göre bu hedefe yönelik saldırıda, kötü amaçlı ikili dosyaları imzalamak ve yayılma olasılıklarını artırmak için, yasal gibi görünen bir şirkete verilmiş olan kod imzalama sertifikası kullanıldı. Şirket Yeni Delhi merkezliydi ve sertifika 2011 yılında verilmişti. Kötü amaçlı yazılım, e-postaların ekindeki belgeler aracılığıyla yayıldı.

 

Zararlı kodların isimleri



Saldırı kampanyasını “çok parçalı ve çok vektörlü bir tehdit” olarak değerlendiren ESET, şu zararlı kodları tespit etti:

 

Win32/Agent.NLD worm

Win32/Spy.Agent.NZD Trojan

Win32/Spy.Agent.OBF Trojan

Win32/Spy.Agent.OBV Trojan

Win32/Spy.KeyLogger.NZL Trojan

Win32/Spy.KeyLogger.NZN Trojan

Win32/Spy.VB.NOF Trojan

Win32/Spy.VB.NRP Trojan

Win32/TrojanDownloader.Agent.RNT Trojan

Win32/TrojanDownloader.Agent.RNV Trojan

Win32/TrojanDownloader.Agent.RNW Trojan

Win32/VB.NTC Trojan

Win32/VB.NVM Trojan

Win32/VB.NWB Trojan

Win32/VB.QPK Trojan

Win32/VB.QTV Trojan

Win32/VB.QTY Trojan

Win32/Spy.Agent.NVL Trojan

Win32/Spy.Agent.OAZ trojan


A101 26 Aralık Perşembe aktüel kataloğu yayımlandı Galatasaray, Kayseri'yi ezdi geçti Maximin, Mourinho'yu hayal kırıklığına uğrattı Türkiye'nin en zeki illeri belli oldu! AFAD duyurdu: Muğla açıklarında deprem Narin Güran cinayetine ilişkin kritik bilgi