GootLoader Tehdidi: Yeni Bir Malware Yönergesi
Son zamanlarda, JavaScript (veya JScript) tabanlı bir malware yükleyici olan GootLoader, kötü amaçlı ZIP arşivleri kullanarak kullanıcıların sistemlerini hedef almaktadır. Bu saldırılar, özellikle siber güvenlik açısından önemli bir tehdit oluşturmakta ve kullanıcıların bilgi güvenliğini tehlikeye atmaktadır.
Saldırı Nasıl Çalışıyor?
GootLoader, olağandışı bir biçimde yapılandırılmış ZIP arşivleri kullanarak, zararlı içeriğin tespitini zorlaştırmaktadır. Araştırmalara göre, bu arşivler 500 ile 1,000 ayrı arşivin birleştirilmesi ile oluşturulmaktadır. Bu yöntem, birçok arşiv açma aracının (WinRAR veya 7-Zip gibi) bu dosyaları açmasını engellerken, Windows’un varsayılan arşiv açma aracının başarılı bir şekilde işlem yapmasına olanak tanır.
Kötü niyetli aktörler, aşağıdaki yöntemleri kullanarak saldırılarını daha da ileri taşımaktadır:
- ZIP dosyasının son merkezi dizini (EOCD) kaydını keserek, gerekli iki baytın yapıdan eksik olmasına neden olurlar.
- Ayrıca, disk numarası ve disk sayısı gibi kritik olmayan alanlarda rastgele değerler kullanarak, arşiv açma araçlarının mevcut olmayan bir ZIP dosyası dizisi beklemesine yol açarlar.
Bu teknikler, kötü amaçlı yazılımların algılamasını zorlaştırmak için kullanılan bir savunma önleme stratejisi olarak tanımlanmaktadır.
Etkilenen Sistemler
GootLoader genellikle arama motoru optimizasyonu (SEO) zehirlenmesi veya kötü reklamcılık (malvertising) yoluyla dağıtılmaktadır. Kullanıcıların yasal şablon ararken karşılaştıkları kötü amaçlı WordPress sitelerine yönlendirilerek, kullanıcıları tehlikeli ZIP dosyalarını indirmeye ikna etmektedir.
Saldırganların, WordPress yorum uç noktası (/wp-comments-post.php) üzerinden ZIP yüklemeleri sağlaması gibi yeni yöntemler geliştirdiği gözlemlenmiştir.
Çözüm ve Korunma
Bu tehdidi azaltmak için önerilen yöntemler şunlardır:
- wscript.exe ve cscript.exe dosyalarının indirilmiş içeriklerin çalışmasına izin vermeyecek şekilde engellenmesi.
- JavaScript dosyalarının varsayılan olarak Notepad ile açılması için Grup Politika Nesnesi (GPO) kullanılması.
GootLoader, sistem bilgilere erişim sağlamak ve uzaktan sunuculardan komut almak amacıyla PowerShell komutları ile birlikte çalışmaktadır.
Sonuç
Bir kullanıcı olarak, sisteminizi bu tür tehdide karşı korumak için aşağıdaki adımları takip etmelisiniz:
- Kötü amaçlı ZIP dosyalarını açmaktan kaçının ve yalnızca güvendiğiniz kaynaklardan indirmeler yapın.
- Sisteminizde güncellemeleri düzenli olarak kontrol edin ve uygulamaları güncel tutun.
- Kurumsal ağlarda, belirlenen güvenlik politikalarına uyarak, kötü amaçlı yazılımların yayılmasını önleyin.
Bu önerilere uymak, GootLoader ve benzeri tehditlere karşı daha iyi bir koruma sağlayacaktır.
