Küçük ölçekli çevrimiçi perakendecilere yönelik tehlikeli mektuplar

Siber suçlular sıklıkla çok küçük şirketleri hedef seçer. Küçük işletmeler güvenlik sistemlerine büyük yatırımlar yapmaz, çoğunlukla bir BT uzmanları bile yoktur ve en önemlisi yalnızca bir veya iki bilgisayarla çalışıyor olma olasılıkları yüksektir. Bu da onları siber suçluların çoğunlukla aradığı türde bilgilere sahip birer hedef haline getirir. Teknolojilerimiz kısa bir süre önce küçük çevrimiçi mağazaları hedef alan bir saldırı daha tespit etti. Sosyal mühendislik yöntemlerini kullanan saldırganlar, bu türden küçük işletmelerin sahiplerini bilgisayarlarında kötü amaçlı komut dosyaları yürütmek için zorlamaya çalışıyor.

Sosyal mühendislik

Bu saldırının en ilginç tarafı, saldırganların bir mağaza çalışanını kötü amaçlı bir dosya indirip açmak üzere kandırmak için başvurdukları oyun. Sipariş için ödeme yapmış fakat siparişi alamamış bir müşteri kılığında bir mektup gönderiyorlar. Postanede bir sorun çıktığını söyleyerek mağazadan bazı bilgileri içeren bir belge doldurmasını istiyorlar (gönderici bilgileri, takip numarası, vb.). Hangi iş insanı böyle bir mektubu görmezden gelebilir?

Düzgün olmasa da oldukça anlaşılabilir bir İngilizceyle yazılmış olan mektup, Google Docs’ta barındırılan bir nesneye bağlantı içeriyor. Bağlantıya tıkladığınızda bir arşiv indiriliyor ve elbette arşivde kötü amaçlı bir dosya var. Bu vakada bu kötü amaçlı dosya .xlsx uzantılı.

Teknik açıdan bakıldığında

Saldırı basit ama etkili. Birincisi, e-postanın kitlesel olarak gönderilmediği belli: Mesajın metni özel olarak çevrimiçi mağazalara yönelik yazılmış ve büyük olasılıkla uygun bir listeye gönderiliyor. İkincisi, e-posta kötü amaçlı bir unsur içermiyor. Yalnızca birkaç satırlık bir metin ve meşru bir hizmete yönlendiren bir bağlantıdan ibaret. Otomatik e-posta filtreleri böyle bir mesajı büyük olasılıkla durdurmaz. İstenmeyen e-posta değil, kimlik avı değil, en önemlisi de kötü amaçlı ekler içermiyor.

XLSX dosyası, uzak bir servisten yürütülebilir bir dosya indirip çalıştıran bir komut dosyası içeriyor. Bu komut dosyası, sistemlerimizin Mayıs 2018’den bu yana tanıdığı bankacılık truva atı, DanaBot. Modüler bir yapıya sahip olan bu kötü amaçlı yazılım, trafiği kesmesini ve şifreleri, hatta kripto para cüzdanlarını çalmasını sağlayan ilave eklentiler indirebiliyor. Bu yazı yazıldığı sırada bu kötü amaçlı yazılım en tehlikeli 10 bankacılığa yönelik kötü amaçlı yazılım ailesi arasında yer alıyor (2019’un üçüncü çeyreği istatistiklerine göre).

Bu saldırının hedefinde çok küçük dükkanlar bulunuyor, dolayısıyla çalışanın e-postayı okuduğu ve virüsün bulaştığı bilgisayarın aynı zamanda bankacılık işlemleri için kullanılan ana cihaz olma ihtimali çok yüksek. Diğer bir deyişle bu bilgisayar büyük olasılıkla saldırganların aradığı bilgileri içeriyor.

Güvenliğinizi nasıl sağlayabilirsiniz?

Birincisi, bütün bilgisayaralar güvenilir bir güvenlik çözümüne ihtiyaç duyar. Güvenlik teknolojilerimiz yalnızca DanaBot’u tespit etmekle kalmaz (Trojan-Banker.Win32.Danabot olarak), aynı zamanda HEUR:Trojan.Script.Generic sezgisel tanısıyla bu truva atını indiren komut dosyalarını da kaydeder. Bu sayede Kaspersky çözümlerine sahip bilgisayarlar, böyle bir saldırıyı truva atı cihaza indirilmeden önce durdurabilir.

İkincisi, çok kullanılan programları zamanında güncellemelisiniz. İşletim sistemi ve ofis programları güncellemeleri, en büyük önceliğe sahip olmalıdır. Saldırganlar genelde kötü amaçlı yazılımları iletmek için bu yazılımlardaki güvenlik açıklarından faydalanır.

Çok küçük şirketler için Kaspersky Small Office Security çözümünü öneriyoruz. Bu çözüm özel yönetim becerileri gerektirmiyor, truva atlarına karşı güvenilir koruma sağlıyor ve yaygın üçüncü taraf uygulamalarının sürümlerini kontrol ediyor.