{"id":8019,"date":"2020-04-01T13:03:13","date_gmt":"2020-04-01T10:03:13","guid":{"rendered":"https:\/\/www.kaspersky.com.tr\/blog\/?p=8019"},"modified":"2020-04-01T13:03:13","modified_gmt":"2020-04-01T10:03:13","slug":"coronavirus-corporate-phishing-2","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/coronavirus-corporate-phishing-2\/8019\/","title":{"rendered":"Bir tuzak: koronavir\u00fcs"},"content":{"rendered":"

K\u00f6t\u00fc ama\u00e7l\u0131 ekler i\u00e7eren ve i\u015f yaz\u0131\u015fmalar\u0131n\u0131 taklit eden e-postalar hayat\u0131m\u0131za yeni giren bir kavram de\u011fil. En az\u0131ndan son \u00fc\u00e7 y\u0131ld\u0131r \u00f6nemsiz trafik i\u00e7erisinde bu durumu g\u00f6zlemliyoruz. Sahtecilik ne kadar hassas yap\u0131l\u0131rsa, kurban\u0131n hi\u00e7bir \u015feyden \u015f\u00fcphelenmeme olas\u0131l\u0131\u011f\u0131 da o kadar y\u00fcksek oluyor.<\/p>\n

Bu kimlik av\u0131 y\u00f6ntemi, mal satan \u015firketlerin \u00e7al\u0131\u015fanlar\u0131 i\u00e7in \u00f6zellikle tehlikelidir; teslimat talebi veya sipari\u015f e-postalar\u0131 i\u015fin temelinde yer al\u0131r. Sahte e-postalar\u0131 tespit etmek i\u00e7in e\u011fitim alan bir ki\u015fi bile baz\u0131 durumlarda, bir iletinin kimlik av\u0131 m\u0131 yoksa m\u00fc\u015fteriden gelen ger\u00e7ek bir sipari\u015f mi oldu\u011funu anlamakta sorun ya\u015fayabilir. Bu nedenle, ikna edici ve sahte e-posta say\u0131s\u0131 giderek art\u0131yor. Belirli bir ama\u00e7 i\u00e7in tasarland\u0131klar\u0131 ve hedeflenen adreslere g\u00f6nderildikleri i\u00e7in geleneksel k\u00f6t\u00fc ama\u00e7l\u0131 spam kadar s\u0131k g\u00f6r\u00fclmezler.<\/p>\n

Bu ge\u00e7en birka\u00e7 hafta i\u00e7erisinde, yazd\u0131klar\u0131 iletilere daha da inand\u0131r\u0131c\u0131l\u0131k kazand\u0131rmak isteyen doland\u0131r\u0131c\u0131lar koronavir\u00fcs salg\u0131n\u0131ndan faydalan\u0131yor. E-postalar genellikle vir\u00fcsle ilgili teslimat sorunlar\u0131ndan bahsediyor ve al\u0131c\u0131y\u0131 hangi teslimattan bahsedildi\u011fini merak etmeye y\u00f6nlendiriyor. Di\u011fer durumlarda ise sald\u0131rganlar, normal i\u015f ortaklar\u0131n\u0131n mal\u0131 zaman\u0131nda teslim edemedi\u011fini \u00f6ne s\u00fcrerek taleplerinin acil olarak ger\u00e7ekle\u015ftirilmesi gerekti\u011fini s\u00f6yl\u00fcyor ve salg\u0131ndan yararlan\u0131yor. Her durumda ama\u00e7, ma\u011fdurun k\u00f6t\u00fc ama\u00e7l\u0131 bir eki a\u00e7mas\u0131n\u0131 sa\u011flamakt\u0131r. Genellikle g\u00f6nderim ayr\u0131nt\u0131lar\u0131n\u0131, \u00f6deme verilerini, sipari\u015fi veya \u00fcr\u00fcn bulunurlu\u011funu kontrol etme talebi bahanesi i\u00e7eren standart y\u00f6ntemler kullan\u0131l\u0131r.<\/p>\n

A\u015fa\u011f\u0131da bu kimlik av\u0131 t\u00fcr\u00fcne ve ilgili risklere ili\u015fkin baz\u0131 spesifik \u00f6rnekler verilmi\u015ftir.<\/p>\n

Gecikmeli teslimat<\/h2>\n

Doland\u0131r\u0131c\u0131lar, Covid-19 salg\u0131n\u0131n\u0131n bir teslimat\u0131n ertelenmesine neden oldu\u011funu belirtiyor. G\u00fcncellenmi\u015f teslimat bilgilerini ve yeni talimatlar\u0131 ekliyorlar. \u00d6zellikle de teslimat s\u00fcresinin uygun olup olmad\u0131\u011f\u0131n\u0131 soruyorlar, b\u00f6ylece al\u0131c\u0131y\u0131 ilk bak\u0131\u015fta PDF format\u0131nda bir faturaya benzeyen ekli dosyay\u0131 a\u00e7maya y\u00f6nlendiriyorlar.<\/p>\n

\"\"<\/p>\n

Ancak o ekte, fatura yerine k\u00f6t\u00fc ama\u00e7l\u0131 bir komut dizisi \u00e7al\u0131\u015ft\u0131ran bir NSIS y\u00fckleyicisi bulunuyor. Komut dizisi daha sonra standart bir cmd.exe i\u015flemi ba\u015flat\u0131yor ve k\u00f6t\u00fc ama\u00e7l\u0131 kodu \u00e7al\u0131\u015ft\u0131r\u0131yor. Bu \u015fekilde kod, standart savunma mekanizmalar\u0131n\u0131 atlayarak ge\u00e7erli bir s\u00fcre\u00e7 ba\u011flam\u0131nda y\u00fcr\u00fct\u00fcl\u00fcyor. Nihai hedef kullan\u0131c\u0131n\u0131n eylemlerini g\u00f6zetlemektir. E-posta g\u00fcvenlik \u00fcr\u00fcnlerimiz bu tehdidi Trojan-Spy.Win32.Noon.gen olarak tespit etmektedir.<\/p>\n

Acil sipari\u015f<\/h2>\n

Doland\u0131r\u0131c\u0131lar, koronavir\u00fcs salg\u0131n\u0131 nedeniyle \u00c7in\u2019deki tedarik\u00e7ilerinin teslimat y\u00fck\u00fcml\u00fcl\u00fcklerini yerine getiremediklerini \u00f6ne s\u00fcr\u00fcyor. Mevcut ko\u015fullar d\u00fc\u015f\u00fcn\u00fcld\u00fc\u011f\u00fcnde, bu durum yeterince inand\u0131r\u0131c\u0131 geliyor. M\u00fc\u015fterilerini hayal k\u0131r\u0131kl\u0131\u011f\u0131na u\u011fratmaktan ka\u00e7\u0131nmak i\u00e7in, al\u0131c\u0131n\u0131n \u00e7al\u0131\u015ft\u0131\u011f\u0131 \u015firketten (mektupta belirtilmeyen) baz\u0131 mallar i\u00e7in acil bir sipari\u015f vermeyi d\u00fc\u015f\u00fcn\u00fcyorlar. Hangi i\u015fletme b\u00f6yle bir f\u0131rsata kar\u015f\u0131 koyabilir?<\/p>\n

\"\"<\/p>\n

Ne s\u00fcrpriz ki ekli dosyada b\u00f6yle bir sipari\u015f de\u011fil, Backdoor.MSIL.NanoBot.baxo<\/strong> vir\u00fcs\u00fc yer al\u0131yor. Ba\u015flat\u0131ld\u0131\u011f\u0131nda, (yine savunma mekanizmalar\u0131n\u0131 atlatmaya \u00e7al\u0131\u015fmak i\u00e7in) ge\u00e7erli RegAsm.exe i\u015flemi i\u00e7inde k\u00f6t\u00fc ama\u00e7l\u0131 bir kod y\u00fcr\u00fct\u00fcl\u00fcyor. Bu, sald\u0131rganlar\u0131n kurban\u0131n bilgisayar\u0131na uzaktan eri\u015febilmesini sa\u011fl\u0131yor.<\/p>\n

Ba\u015fka bir acil sipari\u015f<\/h2>\n

Bu \u00f6rnek, yukar\u0131dakinin bir ba\u015fka \u00e7e\u015fididir. Doland\u0131r\u0131c\u0131 yine hayali bir \u00c7inli tedarik\u00e7inin teslimat sorunlar\u0131 ya\u015fad\u0131\u011f\u0131ndan bahsediyor ve ekli bir DOC dosyas\u0131nda listelenen mallar i\u00e7in fiyat ve teslimat bilgisi talep ediyor.<\/p>\n

\"\"<\/p>\n

DOC dosyas\u0131n\u0131n kullan\u0131lmas\u0131n\u0131n bir nedeni var. \u0130\u00e7erisinde Microsoft Word\u2019deki CVE-2017-11882 g\u00fcvenlik a\u00e7\u0131\u011f\u0131n\u0131 hedef alan bir sald\u0131r\u0131 bulunuyor (\u00e7\u00f6z\u00fcmlerimiz bunu Exploit.MSOffice.Generic olarak alg\u0131lamaktad\u0131r). A\u00e7\u0131ld\u0131\u011f\u0131nda, Backdoor.MSIL.Androm.gen<\/strong> dosyas\u0131 indirilir ve y\u00fcr\u00fct\u00fcl\u00fcr. Ama\u00e7, t\u00fcm arka kap\u0131larda oldu\u011fu gibi vir\u00fcs bula\u015fm\u0131\u015f sisteme uzaktan eri\u015fim sa\u011flamakt\u0131r.<\/p>\n

Kaybedecek zaman yok!<\/h2>\n

Bu \u015fema, koronavir\u00fcs pandemisi nedeniyle i\u015f ak\u0131\u015f\u0131 kesintileri ya\u015fayan \u015firketlere (olduk\u00e7a b\u00fcy\u00fck ve halen b\u00fcy\u00fcmekte olan bir grup) y\u00f6neliktir. Doland\u0131r\u0131c\u0131lar, \u015firketin koronavir\u00fcs nedeniyle ya\u015fanan aksama sonras\u0131 \u00e7al\u0131\u015fmaya devam edebilece\u011fi y\u00f6n\u00fcndeki umudunu dile getirerek al\u0131c\u0131y\u0131 harekete ge\u00e7irmeye zorluyor.<\/p>\n

\"\"<\/p>\n

Ekte sipari\u015f yerine Trojan.Win32.Vebzenpak.ern<\/strong> bulunuyor. Ba\u015flat\u0131ld\u0131\u011f\u0131nda, ge\u00e7erli RegAsm.exe i\u015flemi i\u00e7inde k\u00f6t\u00fc ama\u00e7l\u0131 kod y\u00fcr\u00fct\u00fcl\u00fcyor. Ama\u00e7 yine, sald\u0131rganlar\u0131n g\u00fcvenli\u011fi ihlal edilen makineye uzaktan eri\u015febilmesini sa\u011flamakt\u0131r.<\/p>\n

K\u00f6t\u00fc ama\u00e7l\u0131 e-posta eklerinden nas\u0131l korunur<\/h2>\n

Siber su\u00e7lular\u0131n size bir ek i\u00e7erisinde Truva at\u0131 ya da arka kap\u0131 g\u00f6ndermesini \u00f6nlemek i\u00e7in \u015fu ipu\u00e7lar\u0131n\u0131 izleyin:<\/p>\n