Öğrenci şaşırtma: Kendini ders kitabı ve makale olarak gizleyen kötü amaçlı yazılım

Eylül 9, 2019

Popüler TV dizi ve programlarını veya oyun hilelerini indirmeye çalışırken istemeden bazı kötü tuzaklara düşmenin ne kadar kolay olduğunu defalarca yazdık. Buna karşın siber suçluların araçları, eğlence dünyasının ürünleriyle kısıtlı değildir. İş ya da ders materyali ararken de virüse denk gelebilirsiniz. Bu hususa, özellikle ders yılı başladığında çok dikkat edilmelidir. K-12 ve üniversite öğrencileri için ders kitaplarının ve diğer materyallerin maliyeti, sıklıkla bir çoğunun internet üzerinden daha uygun ve hatta ücretsiz alternatiflere yönelmesine neden olur.

Bir makale indiriyorsunuz ve içinden kötü amaçlı yazılım çıkıyor

Ücretsiz sunulan materyaller arasında kötü amaçlı içeriklerle ne sıklıkla karşılaşıldığını tespit etmeye karar verdik. Bu amaçla, Kaspersky ürünlerinin okul ve öğrenci konulu adları olan dosyalarda kaç kez virüs tespit ettiğini kontrol ettik. Bir hayli çok sonuç da elde ettik!

Anlaşılan o ki, geçtiğimiz ders yılında, eğitim alanını hedefleyen siber suçlular kullanıcılarımıza toplamda 356.000’den fazla saldırı düzenlemiş. Bunların 233.000’i 74.000 fazla kişinin bilgisayarlarına indirilmiş ve ürünlerimiz tarafından engellenmiş olan kötü amaçlı yazılım içeren makalelerdi.

Bu dosyaların yaklaşık üçte biri ders kitabıydı: Kendine metin kitabı süsü vermiş kötü amaçlı yazılımlarla 122.000 saldırı yapıldığını tespit ettik. 30.000’in üzerinde kullanıcı da bu dosyaları açmaya çalışmış.

2.080 indirme girişimiyle K-12 öğrencileri arasında en popüler olanı, içinde kötü amaçlı yazılım gizlenen İngilizce ders kitaplarıydı. İkinci sırada, 1.213 öğrencinin bilgisayarına neredeyse bulaşan kötü amaçlı yazılım içeren matematik ders kitapları bulunuyordu. 870 adet potansiyel mağdur ile edebiyat, en tehlikeli üç ders sıralamasında üçüncü sırada yer alıyordu.

Suçlular, daha az popüler dersleri de hedef seçmişti. Hem K-12 hem de üniversitesi düzeyinde, kendilerini doğa bilimleri ders kitapları (18 kullanıcı tarafından indirilmeye çalışılmış) ve daha az sayıda olmak üzere yabancı dil ders kitapları şeklinde gizleyen kötü amaçlı yazılımlarla karşılaştık.

Ders kitabı ve makale görünümü altında yayılan kötü amaçlı yazılım türleri nelerdir?

Ders materyali ararken kendinizi prensip sahibi olmayan bir internet sitesinde bulmanız ve bu internet sitesinden materyal indirmeye çalışmanız halinde, her türden kötü amaçlı yazılımla karşılaşma riskiye karşı karşıya kalırsınız. Ancak, bazı tehdit türleri de bu yolla diğerlerine nazaran daha çok dağıtılır. Aşağıda, ders materyali kılığında en sık dağıtılan en yaygın dört kötü amaçlı yazılım belirtilmiştir.

4. sıra: MediaGet torrent uygulama indiricisi

Üzerinde gelişigüzel yerleştirilmiş kışkırtıcı ‘Free Download’ (Ücretsiz İndirme) düğmeleri bulunan ders kitabı sitelerinde kullanıcılara, aradıkları doküman yerine çoğu zaman MediaGet indirici sunulur. Bu, eğitim kaynakları arayan K-12 ve üniversite öğrencilerini bekleyen sürprizlerin en masumu. Bu indirici, kullanıcının ihtiyacı olmayan bir torrent istemcisini getirir.

3. sıra: WinLNK.Agent.gen indirici

Kötü amaçlı yazılımlar, arşivlerde gizlenmekten hoşlanır çünkü bir zip veya rar dosyası içindeki tehditleri algılamak daha zordur. Örneğin ders kitabı veya makale ararken kolaylıkla yakalanabileceğiniz WinLNK.Agent.gen indirici tarafından kullanılan teknik budur. Arşivde, sadece dokümanı açmakla kalmayıp, içindeki kötü amaçlı yazılım bileşenlerini de çalıştıran bir metin dosyasına kısayol bulunur.

Bu bileşenler de, cihaza başka bir virüs indirebilir. Kural olarak bunlar kötü amaçlı kripto madencilik programları olup, cihazınızın kaynaklarını kullanarak sahipleri için kripto para madenciliği yapar. Sonuç olarak bilgisayarınız zarar görür, internet bağlantı hızınız düşer ve elektrik faturanız yükselebilir. Adware de bilgisayarınızı reddedemeyeceğiniz reklam teklifleriyle istila edebilir. Ayrıca bu kötü amaçlı yazılımı daha tehlikeli programlar da indirebilir.

2. sıra: Win32.Agent.ifdx kötü amaçlı yazılım indirici

DOC, DOCX or PDF formatında gibi görünen bir ders kitabı veya makale kisvesi altında gizlenen bir indirici daha vardır. İlgili simgesiyle birlikte bir belge gibi görünmesine karşın aslında bir programdır. Üstelik başlatıldığında bir metin dosyası açar ve böylelikle mağdur, şüpheli bir durumun varlığını fark etmez. Ancak bu programın ana görevi, mağdurun bilgisayarına her türlü kötü şeyi indirmektir.

Son zamanlarda bu kötü amaçlı yazılım, çeşitli kripto madencilik programları indirme eğilimi göstermiştir. Kötü amaçlı yazılım dağıtıcılarının önceliklerinin değişebildiğini unutmamakta fayda vardır. Kötü amaçlı yazılımlarını, kripto para madenciliği programları yerine online bankalarda ve mağazalarda kartlardan ve hesaplardan veri çalan bankacılık trojanları, casus yazılımlar ve hatta fidye yazılımları indirecek şekilde modifiye etmekten kendilerini alıkoyan hiçbir şey yoktur.

1. sıra: Stalk solucanı ile okullara istenmeyen e-posta gönderme

Güvenilmez internet sitelerine girmeden de cihazınıza virüs bulaşabilir. Spam mail gönderenler, kötü amaçlı yazılım içeren ders kitapları ve makaleler de gönderir. Örneğin Worm.Win32 Stalk.a solucanını yaymak için tercih edilen yöntem budur. Bu solucan, bir süredir ortaklıkta dolaşıyor ve daha önceleri artık kullanımdan kalktığını düşünüyorduk. Oysa, hala aktif bir şekilde kullanılmakla kalmayıp, aynı zamanda ‘eğitim’ görünümü altında çok sayıda mağduru olan bir kötü amaçlı yazılım.

Bir bilgisayara girdiğinde Stalk, bilgisayara bağlı tüm aygıtlara nüfuz ediyor. Örneğin, yerel ağdaki diğer bilgisayarlara ve eğitim materyali içeren bir USB belleğe bulaşabiliyor. Bu çok sinsi bir adım çünkü okul veya üniversite kaynaklarını kullanarak bir flaş bellekten makalenin çıktısını aldığınızda solucan, eğitim kurumunun ağına giriyor.

Ancak bu kötü amaçlı yazılım, bununla da yetinmiyor. Mümkün olduğunca çok sisteme bulaşmak için kendini sizin adınıza kişiler listenizdeki adreslere e-posta ile göndermeye çalışıyor. Okul ve sınıf arkadaşlarınız da mesajınızın güvenli olduğu düşüncesiyle ekteki kötü amaçlı uygulamayı büyük ihtimalle açıyor.

Doğal olarak Stalk, sadece kendini bir yerel ağa ve e-posta yoluyla yayabildiği için tehlikeli değil. Bu kötü amaçlı yazılım, bulaştığı cihaza başka kötü amaçlı uygulamalar da indirebilir ve bilgisayardaki dosyaları gizlice kopyalayıp kötü amaçlı yazılımın sahiplerine gönderebilir.

Stalk solucanının hala etkili olabilmesinin en olası nedenlerinden biri, genel olarak eğitim kurumlarının ve özellikle yazıcı sistemlerinin, ne yazık ki güncel olmayan işletim sistemleri ve yazılımlar kullanmasıdır. Bu durum, solucanın yayılmaya devam etmesine olanak veriyor.

Kötü amaçlı yazılım içeren ‘ders kitapları’ ve ‘makalelerden’ korunma yolları

Görüldüğü üzere, internette eğitim materyali aramak, bir takım oldukça tatsız sonuçlar doğurabilir. Virüs bulaşmasını önlemek için:

  • Mümkünse, ihtiyacınız olan kitapları mümkünse kütüphanelerden veya internet kütüphanelerinden bulun.
  • İndirmek istediğiniz ders kitabının bulunduğu internet sitesine mutlaka dikkat edin.
  • İçinde bir sürü yanıp sönen ‘download’ (indir) düğmesi bulunan ya da öncelikle bir indirici yüklemenizi isteyen şüpheli kaynaklardan uzak durun.
  • İşletim sistemleri veya diğer yazılımlarının güncel olmayan sürümlerini kullanmayın. Tüm yazılım güncellemelerini vaktinde yükleyin.
  • Tanıdıklarınızdan gelenler dahil olmak üzere e-posta eklerine şüpheyle yaklaşın. Bir arkadaşınızın durduk yerde size istemediğiniz bir makale göndermesi şüphelenmek için yeterli bir nedendir.
  • İndirdiğiniz dosyaların uzantısına dikkat edin. Bir belge indirecekken, onun yerine EXE dosya indirdiyseniz, dosyayı açmayın.
  • Güvenilir bir bilgisayar güvenliği ürünü kullanın. Örneğin Kaspersky Internet Security, sadece bu makalede açıklananları değil daha bir çok diğer tehdidi de tanır ve algılar. Bu tehditlerin bilgisayarınıza zarar vermesini önler.