Trustwave’den güvenlik araştırmacıları, hususî tasarlanmış ZIP evraklarının kullanıldığı yeni bir olta saldırısı kampanyası keşfetti.
Spam epostanın amacı olan kullanıcılar, USCO Logistics’ten bir ihracat eksperi tarafından gönderiliyor üzere görünen eposta alıyorlar. Epostanın içerisinde, değişik biçimde sıkıştırılmamış boyutundan daha büyük olan bir ZIP evrakı konum alıyor. “SHIPPING_MX00034900_PL_INV_pdf.zip” adıyla gelen evrak, güvenlik araştırmacıları arasında şu nedenle kuşku uyandırdı:
“SHIPPING_MX00034900_PL_INV_pdf.zip ek belgesi, bu iletinin öne çıkmasını sağlıyor. ZIP evrakının boyutu, sıkıştırılmamış içerik boyutundan değerli ölçüde daha büyük. ZIP belgesinin boyutu, sıkıştırılmamış olgudan ekseriyetle daha küçüktür. Kimi durumlarda ZIP belgesinin boyutu, makul sayıda bayt kadar daha büyük olabilir.“
Tüm ZIP evrakları, sıkıştırılmış datayı içeren kişisel yapısının yanında, arşivin sonunu bildiren bir Merkezi dizin Sonu (EOCD) kaydı içerir. Trustwave araştırmacıları, kuşkulu ZIP evrakının bu kayıttan iki tane içerdiğini fark etti. Münasebetiyle tek bir ZIP içerisinde iki ZIP yapısı bulunuyor.
Birinci ZIP yapısı, tuzak olarak kullanılıyor ve order.jpg isminde zararsız bir belge içeriyor. 2. ZIP yapısının içerisinde ise NanoCore Uzaktan Erişim Trojanı (RAT) bulunuyor. TrustWave, saldırganların bu halde inançlı eposta geçitlerini aştığını söylüyor.
Araştırmacılar, farklı programların ZIP belgesine farklı formda davrandığını, Windows’un dahili ZIP işlevinin belgeyi açmadığını, PowerArchiver, WinRar ve 7-Zip’in arşivi açtığını ve NanoCore tatbikini çalıştırabildiğini söylüyor.
Zararlı, bu metotla eposta geçitlerini aşsa da, kimi arşiv programlarında çalışmadığından ve antivirüsleri de aşması gerektiğinden, büyük bir tehlikeye yol açacak üzere görünmüyor.
Yorum Ekle
Lütfen yorum için giriş yap veya üye ol