En tehlikeli 4 dosya eklentisi

Siber suçluların kötü amaçlı yazılım gizlemek için en çok kullandığı dosya türlerini ve bunlardan nasıl korunacağınızı açıklıyoruz.

İstenmeyen e-posta göndericileri her gün milyarlarca mesaj gönderir. Bunlar çoğunlukla sinir bozucu fakat zararsız olan banal reklamlardır. Fakat arada sırada bu mesajlardan birine kötü amaçlı bir dosya eklenmiş olabilir.

Bunlar genellikle alıcının tehlikeli dosyayı açmasını sağlamak için kendilerini ilginç, kullanışlı ya da önemli bir şey gibi gösterirler: Bir iş dosyası, harika bir teklif, bilinen bir şirketin logosunu taşıyan bir hediye çeki, vb.

Kötü amaçlı yazılımları yayanların kendilerine özgü gözde yöntemleri vardır. Bu yazıda, bu senenin en popüler kötü amaçlı yazılım gizleme dosyalarını inceleyeceğiz.

1. ZIP ve RAR arşivleri

Siber suçlular, kötü amaçlı yazılımları arşivlere gizlemeye bayılır. Örneğin, GandCrab fidye yazılımını yaymak için Sevgililer Günü arifesinde Seni_Seviyorum0891(numaralar değişebilir) başlıklı ZIP dosyaları kullanılmıştı. Birkaç hafta sonra, veri çalmada uzmanlaşmış Qbot Truva Atı içeren arşivler yollayan başka dolandırıcılar görüldü.

Bu sene de ilginç bir WinRAR özelliği keşfedildi. Bir arşiv oluştururken içeriği sistem klasörüne açmaya yönelik kurallar belirlenebildiği ortaya çıktı. Bu yolla içerikler, özellikle Windows başlangıç klasörüne girerek bir sonraki yeniden başlatmada çalışmaya başlıyor. Bu yüzden WinRAR kullanıcılarına bu sorunu gidermek için derhal güncelleme yapmalarını öneriyoruz.

2. Microsoft Office belgeleri

Microsoft Office dosyaları, özellikle de Word belgeleri (DOC, DOCX), Excel tabloları (XLS, XLSX, XLSM), sunumlar ve taslaklar, siber suçlular arasında oldukça popüler. Bu dosyalar, dosyanın içinde çalışan ufak programlar olan makroları içerebilir. Siber suçlular, makroları kötü amaçlı yazılım indirmek için komut dosyaları olarak kullanır.

Bu ekler çoğunlukla ofis çalışanlarını hedef alır. Kontrat, fatura, vergi bildirimi ve üst yönetimden acil mesajlar görünümüne bürünebilirler. Örneğin, Ursnif adını kullanan bir bankacılık Truva Atı, İtalyan kullanıcılara ödeme bildirimi kılığında gönderilmişti. Kurban, dosyayı açıp (güvenlik sebepleriyle varsayılan olarak devre dışı gelen) makroyu etkinleştirmeyi onayladığında bilgisayarına bir Truva Atı indiriliyordu.

3. PDF dosyaları

Birçok kişi Microsoft Office belgelerindeki makroların tehlikeleri hakkında bilgiye sahip olsa da, PDF dosyalarındaki bubi tuzakları daha az biliniyor. Oysa PDF’ler de kötü amaçlı yazılım gizleyebilir. Bu format, JavaScript dosyaları oluşturmak ve çalıştırmak için kullanılabilir.

Dahası, siber suçlular PDF dosyalarına kimlik avı bağlantıları saklamaya da bayılır. Örneğin, istenmeyen e-posta harekatlarından birinde dolandırıcılar, kullanıcıları American Express hesaplarına girmelerini isteyen “güvenli” bir sayfaya gitmeye teşvik etmişti. Kimlik bilgilerinin hemen dolandırıcılara iletildiğini söylemeye gerek bile yok.

4. ISO ve IMG disk görüntüleri

ISO ve IMG dosyaları, diğer türden eklere kıyasla daha az sıklıkta kullanılır. Öte yandan son zamanlarda siber suçlular bu dosyalarla giderek daha fazla ilgilenmeye başladı. Bu dosyalar, yani disk görüntüleri, temelde bir CD, DVD ya da başka bir diskin sanal birer kopyasıdır.

Saldırganlar, disk görüntülerini kimlik çalmakta uzmanlaşan Agent Tesla Truva Atı gibi kötü amaçlı yazılımları kurbanların bilgisayarlarına göndermek için kullanır. Görüntünün içinde, bağlandığında etkinleşerek cihaza casus yazılımı kuran kötü amaçlı bir yürütülebilir dosya bulunur. Siber suçlular bazı vakalarda ilginç bir biçimde (hem ISO hem DOC olmak üzere) iki eki birlikte kullanarak işlerini garantiye almaya çalışmışlar.

Tehlike potansiyeline sahip eklerle nasıl başa çıkılır

Ekinde bir arşiv veya DOCX/PDF dosyası bulunan tüm mesajları istenmeyen e-posta klasörüne göndermek, epey aşırıya kaçmak olurdu. Bunun yerine, dolandırıcıları alt etmek için birkaç basit kuralı akılda tutmak yeterli:

  • Bilinmeyen adreslerden gelen şüpheli e-postaları açmayın. Belirli bir konuda belirli bir mesajın niçin sizin gelen kutunuza düştüğünü bilmiyorsanız büyük olasılıkla bu e-postaya ihtiyacınız yoktur.
  • Yaptığınız iş, yabancılarla yazışmanızı gerektiriyorsa gönderenin adresini ve ekin ismini dikkatle kontrol edin. Bir şeyler tuhaf geliyorsa açmayın.
  • Çalıştırmanız gerektiğinden emin olmadığınız müddetçe e-postayla gelen belgelerdeki makroların çalışmasına izin vermeyin.
  • Dosyaların içinde yer alan tüm bağlantılara şüpheyle yaklaşın. Neden bağlantıyı takip etmeniz istendiğini anlamıyorsanız görmezden gelin. Bir bağlantıyı gerçekten takip etmeniz gerektiğini düşünüyorsanız ilgili sitenin adresini tarayıcınıza manuel olarak girin.
  • Tehlikeli dosyalar hakkında uyarıp bunları engellemenin yanı sıra şüpheli bir siteye girmeye çalıştığınızda uyarı verecek güvenilir bir güvenlik çözümü kullanın.
İpuçları

Ekstra güvenlik katmanı olarak VLAN

Şirket dışından gelen çok sayıda e-postayla ilgilenmek zorunda olan çalışanlar, kötü amaçlı istenmeyen postaların saldırısına uğrama riski taşırlar. Bu yazımızda, bulaşma ihtimaline karşı şirket sistemlerinizi nasıl koruyabileceğinizi açıklıyoruz.