Güvenlik araştırmacıları Suudi Arabistan, Irak, Mısır,
Libya, Cezayir, Fas, Tunus, Umman, Yemen, Suriye, Birleşik Arap Emirlikleri,
Kuveyt, Bahreyn ve Lübnan dahil Orta Doğu ülkelerini hedefleyen ve JhoneRAT
adını verdikleri Windows tabanlı bir virüs keşfettiler. Virüsün gizlenmek için
bulut hizmetlerinden yararlandığını ve Microsoft Office belgeleri aracılığıyla
yayıldığını belirten Bitdefender Antivirüs güvenlik araştırmacıları, JhoneRAT’ı
algılayabilen bir antivirüs yazılımı kullanılması uyarısında bulunuyor.
Google Drive,
Google Formlar, Twitter ve ImgBB Suistimal Ediliyor
Saldırganlar, sanal makinelerden ve güvenlik çözümlerinden
gizlenmek için Google Drive, Google Formlar ve Twitter gibi birden çok bulut
hizmeti kullandığından bu yeni virüsün oldukça karmaşık bir yapıda olduğu
belirtiliyor. Benzer kötü amaçlı yazılımlardan farklı olarak JhoneRAT,
cihazlarda bulunan güvenlik çözümlerini kandırmak için açık olmayan bir kaynak
kod kullanılarak Python'da geliştirilmiş ve kötü amaçlı yazılımları yaymak için
son derece güvenilir bulut hizmetleri kullanıyor.
Düzenlemeyi
Etkinleştir Seçeneğiyle Virüs Aktif Hale Geliyor
Saldırı, dokümanların kara listeye alınmasını önlemek
için Google Drive’a yüklenen kötü amaçlı bir Microsoft Office belgesi ile
yürütülüyor. Güvenlik araştırmacılarının keşfettiği 3 virüslü doküman ise
şöyle;
1. “Urgent.docx”- Kullanıcılardan İngilizce ve Arapça olarak düzenlemeyi etkinleştirmelerinin
istendiği ilk belge.
2. “fb.docx” -
2019 başından itibaren sızdırılmış Facebook hesaplarının listesini içerdiği
belirtilen ikinci belge.
3. Birleşik Arap
Emirlikleri’nin resmi kuruluşlarından olduğu iddia edilen bulanık bir
belge. Alıcıdan dosyayı okuyabilmesi için düzenleme yapması isteniyor.
Bu 3 belgeden biri açılıp düzenleme etkinleştirilirse
cihaza, kötü amaçlı bir makro içeren ek bir Office belgesi yükleniyor ve
yürütülüyor. Ardından sonuna bir base64 kodlu ikili dosya eklenmiş bir görüntü
dosyası (.jpg, img.jpg veya photo.jpg) indiriliyor. Araştırmacılar tarafından
keşfedilen görsellerden biri Mickey Mouse diğeri ise Mr. Bean gibi karakterleri
temsil ediyor. Görseller açıldıktan sonra, Google Drive'dan tekrar başka bir
ikili dosya (AutoIT) indiriliyor. İndirilen son dosya aslında JhoneRAT
virüsünün ta kendisi ve bu aşamada virüs ekran görüntüleri alıp görsel yükleme
sitesi ImgBB'ye yükleyebiliyor, ek ikili dosyalar indirebiliyor, klavye
komutlarını okuyabiliyor ve cihazdaki verileri Google Formlar'a gönderebiliyor.
Virüs,
Trojan.GenericKD.42247033 ve Trojan.GenericKD.42249088 Olarak Algılanıyor
Dünyada 500 milyondan fazla kullanıcıyı koruyan
Bitdefender Antivirüs’ün güvenlik araştırmacıları, kullanıcıların şüpheli dosyaları
açmamalarını veya bilinmeyen kaynaklardan gelen makroları etkinleştirmemelerini
öneriyor. Bununla birlikte JhoneRAT'ı algılayan bir antivirüs yazılımı
kullanarak, cihazınızın güvenliğini artırabileceğiniz belirtiliyor. Bitdefender
Antivirüs, JhoneRAT virüsü içeren dosyaları Trojan.GenericKD.42247033 ve
Trojan.GenericKD.42249088 olarak algılıyor.
YORUMLAR