Facebook Messenger Toplu Mesajla Yayılan Kötü Amaçlı Yazılım

Eylül 7, 2017

Bir süre önce Küresel Araştırma ve Analiz Ekibimiz (GReAT)’in antivirüs uzmanlarından David Jacoby, Facebook Messenger’dan yayılan çoklu platforma sahip kötü amaçlı bir yazılım keşfetti. Birkaç yıl önce benzer virüs salgınları oldukça yaygındı. Ancak Facebook’un benzer saldırıları engellemek için gösterdiği çabalar sonucunda yakın zamana kadar böyle bir saldırı görülmemişti.

Öncelikle konu hakkında bir ön rapor yayımlandı. O zamanlar Jacoby’nin bu kötü amaçlı yazılımın nasıl çalıştığıyla ilgili ayrıntıları araştıracak vakti olmamıştı. Ancak artık zamanı var ve konu hakkındaki ayrıntıları paylaşmaya hazırız. Kullanıcı açısından bakıldığında saldırı şu şekilde ilerliyor:

  • Kullanıcı bir arkadaşından Facebook Messenger aracılığıyla bir mesaj alır. Mesaj “Video” kelimesini, gönderenin adını, herhangi bir gülen yüz ifadesi ve kısa bir bağlantı içerir. Örneğin şöyle bir mesaj gelebilir:
  • Bağlantı Google Drive’a yeniden yönlendirilir ve kullanıcı burada orijinal gönderenin resminin arka planda olduğu video oynatıcıya benzer bir program ve Oynat tuşuna benzer bir tuş görür.
  • Saldırıya maruz kalan kişi “videoyu” Google Chrome’da oynatmayı denerse Youtube sayfasına çok benzeyen bir sayfaya yönlendirilir ve Chrome için bir uzantı kurması önerilir.
  • Kullanıcı kurulumu kabul ederse uzantı kullanıcının arkadaşlarına kötü amaçlı bağlantılar göndermeye başlar ve bağlantının gönderildiği her kişi için aynı algoritma tekrarlanır.
  • Başka tarayıcı kullanıcılarına ise bir uzantı önerisi yerine sürekli olarak Adobe Flash Player’ı güncellemeleri gerektiği hatırlatılır. İndirdikleri dosya aslında bir reklam yazılımıdır. Yani esasında virüsü yayan kişiler para kazanmak için reklamları kullanır

Jacoby ve “İnsanlık için hata avlamak” adlı projede beraber çalıştıkları araştırmacı Frans Rosen, bu kötü amaçlı saldırıyı incelediler ve nasıl çalıştığını ortaya çıkardılar.

Facebook Messenger’daki bağlantıya tıklayan kullanıcıların yönlendirildikleri sayfa aslında Google Drive’da yayımlanan bir PDF dosyasıdır. Önizleme olarak açılır. Dosya kullanıcının (kimliği kötü amaçlı yazılımı yaymak için kullanılan kişi) Facebook sayfasından bir resim, resmin üzerinde videoyu oynatmak için bir simge ve kurbanın oynat tuşuna tıklamaya çalışırken açtığı bir bağlantıyı içerir.

Linke tıklamak kullanıcıları bu sayfaya yönlendiriyor.

 

Bağlantı birçok yeniden yönlendirmeye neden olur ve kullanıcıyı birkaç web sitesinden herhangi birine yönlendirir. Google Chrome dışında bir tarayıcıyı kullanan kişiler, Adobe Flash Player güncellemesi görünümüne sahip reklam yazılımını indirmeyi tavsiye eden bir web sitesine yönlendirilir.

Google Chrome dışındaki tarayıcıları kullananlara yalnızca Adobe Flash Player görünümündeki reklam yazılımını indirmek önerilir.

 

Ancak Chrome kullanıcıları için bu sadece bir başlangıçtır: Saldırıya maruz kalan kişi, giriş sayfasında önerilen uzantıyı kurmayı kabul ederse uzantı kullanıcının açtığı web sitelerini izlemeye başlar. Kullanıcı Facebook’u açar açmaz uzantı oturum açma bilgilerini ve erişim belirtecini çalarak bu bilgileri kötü niyetli kişinin sunucusuna gönderir.

Sahte YouTube sayfası Google Chrome eklentisi kurmanızı öneriyor.

 

Dolandırıcılar Facebook’ta ilginç bir hata bulmuştur. Anlaşılan o ki bir yıl önce devre dışı bırakılan ve güvenli olmadığı belirlenen Facebook Sorgu Dili (FQL) tamamen kaldırılmamış, birkaç istisna haricinde uygulamalar için engellenmiştir. Örneğin bir iOS uygulaması olan Facebook Sayfa Yöneticisi hala FQL kullanıyor. Dolayısıyla “kilitli” olan bu özelliğe erişmek için kötü amaçlı yazılımın yalnızca bu uygulama gibi davranması yeterli olur.

Dolandırıcılar, çalınan kimlik bilgilerini kullanarak ve Facebook’un bu eski özelliğine erişim sağlayarak sosyal ağdan saldırıya maruz kalan kullanıcının kişi listesini talep edebilir. O anda çevrimiçi olmayanları eleyerek geri kalan kişilerden rastgele 50 yeni kurban seçebilir. Daha sonra adına yeni mesaj dalgası başlatılan kişinin resmi kullanılarak bir PDF dosyası oluşturulur. Bu dosyayı içeren Google Drive bağlantısı toplu mesaj olarak diğer kullanıcılara gönderilir. Neticede kısır bir döngü başlatılmış olur.

Bu arada kötü amaçlı komut dosyasının virüs salgını için istatistiksel verileri toplamak amacıyla belirli bir Facebook sayfasını “beğendiğini” belirtmek gerekir. Jacoby ve Rosen, saldırı süresince kötü niyetli kişilerin Facebook eski sayfaları kapattıkça bu belirli sayfaları değiştirdiğini gözlemledi. “Beğenilerin” sayısına bakıldığında bu saldırıya on binlerce kişinin maruz kaldığı görülebilir.

Virüslü kullanıcıların farkında olmadan “beğendiği” Facebook sayfalarından biri

 

Araştırmacılar kodu analiz ettiklerinde kötü niyetli kişilerin öncelikle yerelleştirilmiş mesajlar kullanmayı planladıklarını ancak daha sonra fikirlerini değiştirip sadece kısa ve basit “Video” kelimesinde karar kıldıklarını gördü . Yerelleştirme fonksiyonukodu, dolandırıcıların esas olarak Türkiye, İtalya, Almanya, Portekiz, Fransa (ayrıca Fransızca konuşan Kanada), Polonya, Yunanistan, İsveç ve İngilizce konuşan diğer ülkeler gibi birçok Avrupa ülkesini hedef aldığını göstermiştir.

Birkaç şirketin ortak çabasıyla şu an için virüs salgının yayılması durduruldu. Ancak bu olay tarayıcı uzantılarının göründüğü kadar zararsız olmadığına dair mükemmel bir hatırlatıcı olabilir. Güvende kalmak ve buna benzer kötü amaçlı saldırıların hedefi olmamak için güvenli olduklarına, verilerinizi çalmayacaklarına ve çevrimiçi etkinliklerinizi izlemeyeceklerine tam olarak güvenmeden tarayıcı uzantılarını kurmaktan kaçının.

Ayrıca tanıdığınız birinden gelmiş gibi görünen bağlantılar dahil olmak üzere her bağlantıya tıklamak kesinlikle yanlıştır. Diğer taraftaki kişinin arkadaşınızın hesabını ele geçirmiş bir suçlu değil gerçekten arkadaşınız olduğundan emin olmak her zaman için iyi bir fikirdir.