Sahte Microsoft Teams Yükleyicisi ve Malware Tehdidi
Son dönemde, hackerlara ait yeni bir tehdit, arama motoru manipülasyonu ve SEO zehirlemeleri aracılığıyla sahte Microsoft Teams yükleyicilerini tanıtmaktadır. Bu yükleyiciler, Windows cihazlarına Oyster backdoor virüsünü bulaştırarak kurumsal ağlara erişim sağlamaktadır. Bu durum, özellikle IT profesyonelleri ve şirket çalışanları için büyük bir risk oluşturuyor.
Oyster, 2023 yılının ortalarında görünmeye başlayan bir malware türüdür ve zamanla çeşitli kampanyalarla ilişkilendirilmiştir. Bu kötü amaçlı yazılım, saldırganlara enfekte olmuş cihazlara uzaktan erişim sağlamakta ve komut yürütme, ek yükler dağıtma ve dosya transferi gibi işlemleri gerçekleştirmelerine olanak tanımaktadır.
Malvertising ve SEO Zehirlemeleri
Son günlerde, Blackpoint SOC tarafından tespit edilen bir malvertising ve SEO zehirleme kampanyasında, tehdit aktörleri “Teams download” araması yapıldığında ortaya çıkan sahte bir siteyi tanıttı. Bu kötü niyetli Microsoft Teams indirme sitesinin Bing’deki reklamları, aslında Microsoft’un resmi domainini taklit etmemekte, ancak teams-install[.]top adresine yönlendirmektedir.
Bu sahte sitenin indirme bağlantısına tıklanıldığında, “MSTeamsSetup.exe” isimli bir dosya indirilmektedir. Bu isim, resmi Microsoft indirme dosyası ile aynıdır, bu da kullanıcıları yanıltma amacı taşır.
Oyster Malware ve İlgili Teknikler
Malicious MSTeamsSetup.exe dosyası, “4th State Oy” ve “NRM NETWORK RISK MANAGEMENT INC” isimli sertifikalarla imzalanmış olup, bu da dosyaya bir meşruiyet duygusu eklemektedir. Ancak, uygulama çalıştırıldığında, %APPDATA%Roaming klasörüne CaptureService.dll adında kötü niyetli bir DLL dosyası yerleştirilmektedir.
Bu yükleyici, aynı zamanda bir görev zamanlayıcısı oluşturarak “CaptureService” adında bir görevi her 11 dakikada bir çalıştırmaktadır. Bu sayede, backdoor’un etkinliği, sistem yeniden başlatıldığında bile devam etmektedir. Bu tür aktiviteler, daha önce ortaya çıkan sahte Google Chrome ve Microsoft Teams yükleyicileriyle benzerlik göstermekte ve SEO zehirleme ve malvertising stratejilerinin kurumsal ağları ihlal etmek için hâlâ popüler bir yöntem olduğunu göstermektedir.
Kullanıcı Güvenliği İçin İpuçları
Bu tür aktiviteler, SEO zehirlemesi ve kötü niyetli reklamların meşru yazılımlar olarak sunularak backdoor dağıtılmasıyla ilgilidir. Blackpoint’in açıklamasına göre, “Kullanıcıların arama sonuçlarına ve tanınmış markalara olan güvenlerini istismar eden tehdit aktörleri, başlangıçta erişim sağlamak için bu yöntemleri kullanıyor.” Özellikle IT yöneticileri, yüksek yetkili kimlik bilgilerine erişim sağlamak için popüler bir hedef haline gelmektedir. Bu yüzden, yazılımların yalnızca doğrulanmış domainlerden indirilmesi ve arama motoru reklamlarına tıklamaktan kaçınılması önerilmektedir.
Bunun yanı sıra, kullanıcıların hesaplarının güvenliğini sağlamak için güçlü ve tahmin edilmesi zor parolalar kullanmaları da son derece önemlidir. Uzmanlar, parolaların düzenli olarak değiştirilmesini ve iki aşamalı kimlik doğrulama yöntemlerinin uygulanmasını tavsiye etmektedir.
Sonuç Olarak, Tehditlerle Baş Etme Yöntemleri
Siber güvenlikte faaliyet gösteren uzmanların, bu tür tehditler konusunda farkındalığı artırmaları önem arz etmektedir. Şirketlerin, siber saldırılara karşı daha dirençli hale gelmesi için personel eğitimine yatırım yapması gerekmektedir. Ayrıca, düzenli güvenlik denetimleri ve güncellemeleri, kötü niyetli yazılımlara karşı koruma sağlar.
Hackers’ın sahte yükleyicilerle yaydığı bu tür virüslerle başa çıkabilmek için firmaların siber güvenlik politikalarını gözden geçirmesi ve gerekli önlemleri alması kritik bir önem taşır. Hem bireysel hem de kurumsal düzeyde siber güvenlik bilincinin artırılması, bu tür saldırıların önüne geçilmesinde etkili bir strateji olacaktır.
