Bu hafta yayınlanan iki tavsiyeye göre, ChromeLoader olarak bilinen tarayıcıyı ele geçiren kötü amaçlı yazılım giderek yaygınlaşıyor ve karmaşıklığı artıyor. İş kullanıcıları için büyük bir tehdit oluşturuyor.
ChromeLoader, kendisini tarayıcıya enjekte etmek ve kötü amaçlı bir uzantı eklemek için bir otomasyon ve yapılandırma yönetimi çerçevesi olan PowerShell’i kullanan gelişmiş bir kötü amaçlı yazılımdır. Günümüz işletmeleri esnek çalışma ortamları ve çeşitli uç noktalar arasında hizmet olarak yazılım (SaaS) uygulamalarına daha fazla güvendiğinden, bu tür bir tehdit saldırı yüzeyini büyük ölçüde artırıyor.
Talon Cyber Security’nin CTO’su ve kurucu ortağı Ohad Bobrov, Dark Reading’e “Tarayıcı İnternet’in ön kapısıdır ve bu nedenle kullanıcının SaaS uygulamalarına eriştiğinde ilk savunma hattıdır” diyor. “Saldırganlar, tarayıcıyı SaaS uygulamalarından uzak bilgileri çalmak ve kolayca manipüle edebilecekleri kötü amaçlı uzantılar oluşturmak için bir fırsat olarak tanımladılar.”
Bu durumda, kötü amaçlı yazılım, tarayıcıyı ele geçirmek ve bir kötü amaçlı reklam şemasında sahte arama sonuçlarını görüntülemek üzere yönlendirmek için genellikle yazılım veya oyunların kırılmış veya korsan sürümlerinde gizlenmiş olan kötü amaçlı optimal disk görüntüsü (ISO) dosyalarını kullanır.
Hem MalwarebytesLabs danışma
ve bir Kırmızı Kanarya uyarı ChromeLoader’ın PowerShell’i kötüye kullanmasının, ISO dosyalarının kullanımıyla birlikte ChromeLoader’ı özellikle agresif hale getirdiğine dikkat edin.
Kurumsal siber risk iyileştirmesi için SaaS sağlayıcısı olan Vulcan Cyber’de kıdemli teknik mühendis olan Mike Parkin, “PowerShell, diğer gelişmiş kabuklar gibi, görevleri otomatikleştirmek için bir yönetim aracı olarak kullanılabilir” diye açıklıyor. “Yöneticiler, çok yönlü olabildikleri ve hemen hemen her platformda kolayca erişilebildikleri için sayısız görev için iyi huylu kabuk komut dosyaları kullanır.”
Komut dosyasını taşımak için bir ISO dosyasının kullanılmasının ardından kötü amaçlı bir uzantının düşmesinin yeni bir teknik olmadığını, ancak ISO’lar iş ortamlarında hala yaygın olarak kullanıldığı için etkili olmaya devam ettiğini belirtiyor. Bu kampanya bir korsan yazılım oyununa dayanıyor olsa da, ISO’lar ağ ve sistem yönetiminde de önemlidir ve sunuculara ve kapsayıcılara paket yüklemek için kullanılır. Linux, bazı Windows yükseltmelerinde olduğu gibi ISO aracılığıyla yüklenir.
Tarayıcıyı Etkilemek Güvenlik Önlemlerini Atlamaya Yardımcı Olur
Parkin, pek çok uygulamanın artık tarayıcı tabanlı olması nedeniyle siber suçluların kötü amaçlı kodlarını yerleştirmesi için mantıklı bir yer olduğunu ekliyor.
Ayrıca tarayıcı, çoğu güvenlik programı tarafından izlenmeyen bir uygulamadır ve uzantılar, kötü amaçlı olup olmadıklarını belirlemek için genellikle çoğu uç nokta koruma çözümü tarafından taranmaz.
Parkin, “Saldırgan, tarayıcıya bulaşarak, trafik şifrelemesi gibi, aksi takdirde saldırılarını engelleyebilecek bir dizi güvenlik önlemini aşıyor” diyor. “Sisteminize kötü amaçlı bir sabit disk eklemek gibi.”
Bir tarayıcıya erişim, saldırganların kurban verilerine erişmesini sağlar ve bazı durumlarda, güvenliği ihlal edilen kişi adına eylemler gerçekleştirme fırsatı sağlayabilir. Tarayıcıların içindeki bu kadar kolay erişim ve yüksek değerli bilgilerle, kötü amaçlı yazılım operatörleri minimum çabayla büyük sonuçlar elde edebilir.
Başlatmak için ChromeLoader’ın yetenekleri kötü amaçlı uzantılar yüklemekle bitmez – daha gelişmiş saldırılar da gerçekleştirebilir.
Talon’dan Bobrov, “Çoğu güvenlik aracı bunu algılamıyor” diyor. “ChromeLoader’ın PowerShell’i kötüye kullanması, onu inanılmaz derecede tehlikeli hale getiriyor, çünkü bu, fidye yazılımı, dosyasız kötü amaçlı yazılım ve kötü amaçlı kod belleği enjeksiyonları gibi daha gelişmiş saldırılara izin verebilir.”
ISO dosyalarının çok fazla veri tutabileceğini, bu nedenle kötü amaçlı yazılımların saklanabileceği çok fazla alan olduğunu ekliyor. Ayrıca, bu dosyalar son kullanıcılar için kafa karıştırıcıdır ve işletim sisteminin gerçekleştirebileceği bazı otomatik eylemlere sahiptir.
Kötü Amaçlı ISO Dosyalarını Durdurmak İçin Siber Hijyen, Kullanıcı Eğitimi Gerekiyor
Bobrov, kötü niyetli ISO dosyalarına maruz kalmayı önlemek için ilk adımın temel siber hijyenle ilgili olduğunu söylüyor: İndirdiğiniz verileri ve nereden indirdiğinizi anlamanız ve güvenmeniz gerekiyor.
“Güvenilir kaynaklardan olmayan ISO dosyalarını başlatmayın ve güvenliklerini doğrulamadan asla dosyaları ISO içinde çalıştırmayın” diye tavsiyede bulunuyor. “İnternet’te gezinirken, göz attığınız web sitelerini izlemeye ve sizi kötü amaçlı içerikten korumaya yardımcı olacak güvenlik kontrollerine sahip olduğunuzdan emin olun.”
Parkin’in bakış açısına göre, kullanıcı eğitimi, kötü niyetli ISO dosyalarına maruz kalmayı önlemek için iyi bir ilk adımdır ve kullanıcılara şüpheli dosyaları indirmekten sakınmalarını öğretmeyi içerir. (Herhangi bir crackli yazılım bu kovaya düşer.)
“Kullanıcı eğitiminin ötesinde, yöneticiler, ISO dosyalarının monte edilmesini kısıtlayan araçları dağıtabilir ve politikaları uygulayabilir, ancak bu bir zorluk olabilir. [bring-your-own-device] BYOD ortamları” diyor.
Bunun bir adım ötesinde, VNC, Citrix veya Windows Uzak Masaüstü gibi uzak masaüstü ortamlarını kullanmak, politika uygulamasını tekrar BT yöneticisinin eline bırakabilir.
