İçeriğe geçmek için "Enter"a basın

Güncelleme Uyarılarınız Sahte Olabilir Mi?

Web güvenliği konusunda yaptığı araştırmalarla ön plana çıkan Sucuri, siber saldırganların son zamanlarda zararlı yazılımları dağıtmak için sahte web tarayıcısı güncelleştirmelerine başvurduğuna belirledi.

Saldırganlar tarafından ele geçirilen bir siteye dahil edilen ve site ziyaretçilerini zararlı yazılımları indirmeye iten sahte güncelleme istekleri aşağıdaki gibi görünüyor:

Görüldüğü gibi, önce kurbanlara kullandığı tarayıcıya göre “Güncelleme Merkezi” başlıklı bir iletişim kutusu gösteriliyor. Kutunun içinde ise kullandığınız web tarayıcısının artık desteklenmediğine yönelik bazı mesajlar yer alıyor ve arka planda da bu iddiayı desteklemek üzere bozuk metinler bulunuyor. İndirme bağlantısına tıklanıldığında ise .exe ve .zip uzantılı dosyalar cihaza indiriliyor.

Bu iletişim kutuları, genellikle saldırganların daha önce ele geçirdikleri sitelere ekledikleri “update.js” adlı harici bir JavaScript dosyası yardımıyla oluşturuluyor. Ayrıca, ilgili Javascript dosyası, zararlı yazılımın bağlantısını da içinde bulunduruyor. Bazı örneklerde ise, saldırganların sonradan zararlı JavaScript kodlarını web sitesinin kodları içerisine ekledikleri görülüyor. Araştırmacılara göre bunun sebebi; harici kaynaklardan gelen kaynakları engellemenin kolay olması nedeniyle saldırganların bunu dezavantaj olarak görmesi.

(https://www.virustotal.com/#/file/a78f5ac56c90c138108a009f5ff393d15b31adc7abf0ffef8f0aa0adfad20a0c/detection)

Dağıtılmaya çalışan zararlı yazılımın, çoğu antivirüs yazılımı tarafından başarıyla zararlı olarak algılansa da, ismini çokça işittiğimiz bazı antivirüs yazılımları tarafından ise zararsız olarak tanımlanmış olduğu görüldü.

İndirilen .zip dosyaları yalnızca .js uzantılı bir dosya içeriyor. Araştırmacılar .js uzantılı bu dosyanın, içerisinde fidye yazılımı gizlenen bir browser.jpg dosyasını indirmek için kullanıldığını ortaya koydu. Dosya uzantısının .jpg olduğuna güvenilerek açılmaması gerekiyor çünkü yakından incelendiğinde aslında bir çalıştırılabilir exe dosyası olduğu ortaya çıkıyor.  

Zararlı JavaScript kodlarının son sürümlerinde Android kullanıcılarının da hedefte olduğu ve bir bankacılık zararlı yazılımı dağıtılmaya çalışıldığı gözlemlendi. Etkilenen web sitelerinin çoğunda WordPress ve Data Life Engine gibi içerik yönetim sistemlerinin kullanıldığı saptandı.

Yapılan bu kapsamlı araştırma, savunmasız web sitelerinin saldırganlar tarafından nasıl kötüye kullanılabileceğini bize tekrar kanıtlıyor ve site sahibi olarak da sorumluluklarımız olduğunu hatırlamamızı sağlıyor.

Bu tür saldırı girişimlerden etkilenmemek ve korunmak için alabileceğimiz bazı önlemler var.;

– Bilinmeyen kaynaklardan yüklemeler yapmayın.

– Yalnızca güvenilir kaynaklardan gelen yazılım güncelleştirmelerini kabul edin.

– Güvenmediğiniz sitelerin JavaScript çalıştırmasına izin vermeyin.

– Sitelerde harici kaynaklardan gelen kaynakları engelleyin.

– Güvenilir olmayan kaynaklardan gelen dosyaları mutlaka açmanız gerekiyorsa, sanallaştırma çözümlerini kullanarak ağınızdan ve ana bilgisayarınızdan arındırılmış sanal bir ortam oluşturun.

– Kullandığınız yazılımların güncelleştirmelerini sürekli kontrol edin.

– En son tehditlerden korunmak için güncel bir antivirüs yazılımı kullanın.

– Eğer bir kurumsanız, kendi bilgi güvenliğinize ve ziyaretçilerinizin bilgi güvenliğine önem veriyorsanız web uygulamalarınıza farklı firmalara düzenli olarak sızma testi uygulatın / web uygulamalarınız için hata avcılığı (bugbounty) programlarına başvurun.

– Harici kaynaklardan çağırdığınız JavaScript kodlarında bir değişiklik yapıldığında fark etmenizi sağlayacak sistemler kurun.

İlk yorum yapan siz olun

    Bir cevap yazın

    E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir