Hackerlar Ziyanlı Yazılımlar İçin WAV Evraklarını Kullanıyor
İnsanların bilgilerini ele geçirmek ve bunu kendi avantajına kullanmak isteyen hackerlar, her gün yeni bir usulle karşımıza çıkıyorlar …
İnsanların bilgilerini ele geçirmek ve bunu kendi avantajına kullanmak isteyen hackerlar, her gün yeni bir usulle karşımıza çıkıyorlar. Blackberry Cylance tarafından bulunan yeni bir prosedüre nazaran hackerlar, WAV ses evraklarına kapalı kodlar yerleştiriyorlar.
Aslında bu formül, ‘steganografi’ olarak bildiğimiz bilgiyi gizleme bilimine epey benziyor. Hackerlar, dışarıdan olağan gözüken bir evrakta birçok ziyanlı yazılım saklamak için bu usulü kullanıyorlar. Münasebetiyle bu evraklar, görünüşte kuşkulu olmadıkları için güvenlik duvarından da rahatça geçebiliyorlar.
Hackerların WAV evraklarını kullanmaya başlamaları ise epey yeni bir formül. Geçmişte bu şahıslar daha çok sıkıştırılmış ya da fotoğraf evraklarına ziyanlı yazılım saklıyorlardı lakin Blackberry Cylance tarafından yapılan keşfe nazaran hackerlar, XMRrig isimli ziyanlı yazılımı saklamak için WAV belgelerini kullanıyorlar. WAV belgeleri, makûs niyetli kodların çalışması için komutların kodunu çözme ve yürütme hedefli yükleyici bir bileşen enjekte ediyor. Her WAV belgesi, evrakın ses bilgilerinde yükleyici bir bileşen içeriyor. Ses çalındığında ise birtakım WAV evraklarının olağan formda ses ürettiği, öbür belgelerin da sırf beyaz gürültü ürettiği keşfedildi.
Güvenlik uzmanlarının WAV belgelerinden çıkardığı XMRrig ve Metasploit yazılımı, kurbanın bilgisayarında kripto para madenciliği yapıyor. Blackberry Cylance’da yetkili isimlerden biri olan Josh Lemos, bir ses belgesinin kripto para madenciliği için kullanılmasının bir birinci olmadığını söyledi. Daha evvel de bu tıp denemeler gerçekleşmiş.
Bu cins bir deneme birinci defa geçtiğimiz haziran ayında tespit edilmişti. Rus hacker kümesi Çeşitle, kendi sunucularından öteki bilgisayarlara ziyanlı yazılım enjekte etmek için WAV evraklarını kullanıyordu. Ayrıyeten bu hacker kümesi, Chrome ve Firefox’u TLS web trafiğini izlemek üzere değiştirmekten de sorumluydu.
Cylance’in yaptığı açıklamaya nazaran ise bu ay gerçekleşen taarruzlardan Turla’yı sorumlu tutmak gerçek olmaz zira rastgele bir insanın artık bu usulü emsal ziyanlı TTP’lerle ve yazılımlarla gerçekleştirebilecekleri söylendi. Bunun dışında uzmanlar, steganografinin tespitinin hayli güç olduğunu ve bu yüzden internetten rastgele bir ses evrakı indirirken dikkatli olunması gerektiğini belirtti.