Kaspersky Lab uzmanları, saldırganların hedeflisaldırıları başarılı bir şekilde faaliyete geçirmek için kullandıkları popülerbelge-oluşturma yazılımında bir özellik keşfetti. Basit bir ofis belgesiaçıldığında etkinleştirilen kötü niyetli bir uygulama, kurbanın cihazınayüklenen yazılım aracılığıyla bilgileri, kullanıcı etkileşimi olmadan otomatikolarak saldırganlara gönderiyor. Bu veriler, saldırganların hedeflenen aygıtıhacklemek için kurbanlardan nasıl yararlanmaları gerektiğini anlamalarınısağlıyor.
Bu süreçte belgenin hangi cihazda açıldığı önemli değil.Saldırı tekniği, popüler metin işleme yazılımının masaüstü ve mobil sürümleriüzerinde çalışıyor. Kaspersky Lab, araştırmacılarının FreakyShelly adınıverdiği ve en az bir siber casus tarafından kullanılan bu profilleme yönteminigözlemledi. Kaspersky Lab sorunu yazılım sağlayıcısına bildirdi ancak henüz tamolarak düzeltilmedi.
Kaspersky Lab uzmanları, bir süre önce FreakyShellyhedefli saldırıları araştırılırken, OLE2 formatındaki belgelerin“spear-phishing” postası gönderdiğini tespit etti (Bunlar, NesneyeBağlanma-Object Linking ve Yerleştirme-Embedding teknolojisini kullanarak,uygulamaların internetten çeşitli kaynaklardan gelen bilgileri içeren bileşikbelgeler oluşturmasına yardımcı oluyor). Bununla birlikte, belgenin hareketiderinlemesine incelendiğinde, belgenin açılmasıyla birlikte yabancı bir websayfasına belirli bir GET isteği gönderdiği görüldü. GET isteğinde, aygıttakullanılan tarayıcı, işletim sisteminin sürümü ve saldırıya uğramış aygıta yüklenendiğer yazılımlarla ilgili bilgiler yer alıyordu. Sorun ise uygulamanın bu websayfasına herhangi bir istek göndermemesi gerektiğiydi.
Birçok Kaspersky Lab araştırması, belgenin öğelerihakkındaki teknik bilginin işlenmesi ve depolanması odağında saldırının işeyaradığını gösteriyor. Her bir dijital belge, stili, metin konumu ve kaynağıhakkında, belgeler için resimlerin (eğer varsa) tutulması gereken diğer metaverileri ve parametreleri içerir. Ofis uygulaması açıldığı anda buparametreleri okur ve bunları harita olarak kullanarak belgeleri oluşturur.Kaspersky Lab araştırmacılarının ortaya koyduğu sonuçlar, belgede kullanılanresimlerin yerini belirten parametrenin, saldırganlar tarafından karmaşık kodmanipülasyonları ile değiştirildiğini ve belgeyi, tehdit unsuru içeren websayfasına yönlendirdiğini gösteriyor.
Kaspersky Lab Sezgisel Tespit Grubu Yöneticisi AlexanderLiskin, “Bu özellik kötü amaçlı bir saldırıyı harekete geçirmese de, etkilenenyazılımın çok popüler olması sebebiyle kullanıcıyla neredeyse sıfır etkileşimgerektirdiği ve dünyanın dört bir yanındaki birçok kişiye erişebilen kötüniyetli bir eylemi desteklediği için tehlikeli... Şimdiye kadar bu özelliğintek bir örnekte kullanıldığını gördük. Bununla birlikte, tespit edilmesigerçekten zor olduğu göz önüne alındığında, daha fazla siber tehdit unsurununbu tekniği gelecekte kullanmaya başlamasını bekliyoruz” dedi.
Kaspersky Lab ürünleri, bu tekniğin yardımıylagerçekleştirilen saldırıları başarılı bir şekilde algılıyor ve engelliyor.Kaspersky Lab uzmanları, böyle bir saldırıya maruz kalmanın önüne geçmek adınaşunları öneriyor:
· Bilinmeyenadreslerden gönderilen e-postaları ve bu e-postalardaki herhangi bir eklentiyiaçmayın;
· Kaspersky Labkoruma çözümleri gibi bu tür saldırıları tespit edebilen kanıtlanmış güvenlikçözümlerini kullanın.
