Yeni Tehdit: PureLogs Enfeksiyonu
Son dönemde siber güvenlik uzmanları, sosyal mühendislik ve Blogger sayfalarını kullanarak bilgi çalan bir yazılım olan PureLogs’u hedef alan çok aşamalı bir zararlı yazılım dağıtım saldırısını tespit etti. Bu tür tehditler, kurumsal altyapıları tehlikeye atma potansiyeline sahip oldukları için son derece önemlidir.
Saldırı Nasıl Çalışıyor?
Saldırı, Securonix tarafından VEIL#DROP kod adıyla tanımlanmıştır. İlk yüklerin, ya hedefli kimlik avı (spear-phishing) ya da bir kullanıcının saldırganın kontrolündeki bir web sitesine (mevcut ya da değil) girmesiyle gerçekleşen drive-by compromise yöntemiyle dağıtıldığı düşünülmektedir. Araştırmacılar Akshay Gaikwad, Shikha Sangwan ve Aaron Beardslee, bilgisini paylaştıkları raporda, enfeksiyon zincirinin adında yanıltıcı JavaScript dosyasıyla başladığını belirtmektedirler. Bu dosya, Windows Script Host aracılığıyla çalıştırılarak PowerShell’i, yürütme politikalarını atlayarak başlatır.
Yüklenen PowerShell scripti, “htlwub00klocate.blogspot[.]com” adresinde barındırılan bir sonraki aşama yükünü alarak, saldırganların Google’ın güvenilir altyapısını kötüye kullanarak itibar tabanlı savunmaları aşmasını sağlar. Kullanıcıya, açılan bir PDF belgesinin yanılsamasını yaratırken enfeksiyon süreci arka planda sessizce ilerler.
Etkilenen Sistemler
Malware yayılma sürecinde hedef alınan platformlar çeşitli Windows bileşenlerini içermekte olup, aşağıdaki dosyaları hedef almaktadır:
- wscript.exe – Seçilen süreçlerin son bulması için terminasyon
- regsvcs.exe, installutil.exe, msbuild.exe, aspnet_compiler.exe – Yedek yürütme yöntemleri
Saldırı sırasında dinamik aşama oluşturma ve zamanlama mutasyonu gibi gelişmiş teknikler kullanarak, hedef sistemde iz bırakan her türlü etkinliği en aza indirmeye çalışmaktadır.
Çözüm ve Korunma
Saldırının boyutları ve karmaşıklığı göz önüne alındığında, kullanıcıların alması gereken önlemler şunlardır:
- Antivirüs yazılımlarını güncel tutmak.
- Windows ve diğer yazılımlar için en son güvenlik yamalarını uygulamak.
- Güvenilmeyen kaynaklardan gelen e-postaları açmamak.
- Güçlü güvenlik duvarları ve ağ izleme çözümleri kurmak.
Ayrıca, çalışanların sosyal mühendislik saldırılarına karşı eğitim alması da büyük önem taşımaktadır.
Sonuç
Göründüğü üzere, PureLogs gibi zararlı yazılımlar, kurumsal güvenliği ciddi şekilde tehdit etmekte ve gerekli önlemler alınmadığı takdirde büyük zararlara neden olabilmektedir. Kullanıcılar, yukarıda belirtilen adımları izleyerek sistemlerini korumalıdır. Güncellemeleri ve güvenlik politikalarını sıkı bir şekilde takip etmek, bu tür tehditlerin önlenmesinde kritik rol oynamaktadır.


