Kötü amaçlı yazılım paketlerini, bilgi hırsızlığını, tıklama sahtekarlığı ve daha fazlasını hizmet modeliyle korsan yazılımlara gizleyen taşıyıcılar (dropper), deneyimsiz siber saldırganların dahi minimum maliyetle kapsamlı saldırılar gerçekleştirmesinin önünü açıyor.
Sophos, kiralık taşıyıcılar (dropper) yardımıyla kötü amaçlı içerik paketlerinin korsan yazılımlar üzerinden nasıl hedefe teslim edildiğini ayrıntılı biçimde ortaya koyan “Fake Pirated Software Serves Up Malware Droppers as a Service” başlıklı raporunu yayınladı. Rapor, söz konusu kötü amaçlı yazılımları popüler iş ve eğlence uygulamalarının korsan sürümleri eşliğinde dağıtan yeni hizmet modeline ışık tutuyor.
Sophos Kıdemli Tehdit Araştırmacısı Sean Gallagher, rapordaki bulgulara dair şunları söylüyor: “Hayatımızda uzun süredir mevcut olan ücretli indirme ve dropper hizmetleri, her geçen gün daha da gelişiyor ve arkasında yer alan operatörlere para kazandırıyor. Yaptığımız araştırma, bu hizmetlerdeki artışın hesap erişimi ve kimlik bilgilerine yönelik yeraltı suç dünyasından gelen yüksek talepten kaynaklandığını gösteriyor. Ücret karşılığı sunulan bu hizmetler, deneyimsiz siber suçluların bile kimlik bilgisi hırsızlığı ve kripto para dolandırıcılığı gibi saldırıları düşük maliyetle gerçekleştirmesine olanak tanıyor.”
Dropper operatörleri, taşıyıcı olarak kullandıkları korsan yazılımlar üzerinde birden fazla kötü amaçlı ve istenmeyen içeriği bir araya getirerek, tek seferde bir dizi zararlı uygulamayı kurbanlarına bulaştırmak ve karlılıklarını en üst düzeye çıkarmak için uyum sağladılar. Son 18 ayda milyonlarca insanın evden çalıştığına ve işlerini yapmak için genellikle kişisel cihazlarını kullandığına dikkat çeken Gallagher, bunun kötü niyetli dropper indirme riskini artırdığını ve iş modelini daha çekici hale getirdiğini söylüyor. Araştırmalarında Raccoon Stealer ve Crypto Bot gibi bilgi hırsızlarının yanı sıra Glupteba gibi arka kapı açan dropper örneklerini de mercek altına aldıklarını söyleyen Gallagher, “Neyse ki kurumsal güvenlik söz konusu olduğunda, dropper tarafından gönderilen kötü amaçlı yazılımlar imzaları veya davranışları sayesinde kolayca anlaşılabilir. Ancak kötü amaçlı paketler genellikle şifrelenmiş arşivlerde bulunduğu için, güvenlik teknolojileri kötü amaçlı dosyaları paketten çıkarılıncaya kadar tespit edemez” diyor.
Nasıl Korunacaksınız?
Sophos uzmanları, kuruluşların istenmeyen ve kötü amaçlı indirmeleri tespit edip engelleyebilmek için güvenlik yazılımlarını, ayarlarını ve politikalarını gözden geçirmelerini öneriyor. Bu, öncelikle web filtrelemeye dair sağlam bir yaklaşıma sahip olmayı gerektiriyor.
Dropper paketinin içine gizlenmiş olan kötü amaçlı yazılım, yalnızca paketten çıkarıldıktan sonra algılanabildiği için fark edildiğinde çoktan ağın içine sızmış olabiliyor. İyi bir web filtresiyle yalnızca normal indirmeleri taramakla kalmayıp, şifreli ağ trafiğini denetleyebiliyor. Sophos’un araştırmasına göre kötü amaçlı yazılımların yarısından fazlası iletişim için Transport Layer Security (TLS) şifrelemesi kullanıyor. Web filtreleri ayrıca zararlı olarak işaretlenmiş etki alanlarını ve URL’leri engelleyerek, kuruluşları ve çalışanlarını tehlikeli ve güvensiz sunuculara bağlanmaktan koruyor.
Bunun yanında kuruluşların ağ güvenliğini, çalışanların işle ilgili hizmetlere uzaktan erişim için kullandığı tüm cihazlarda davranış algılama özelliklerine sahip güncel uç nokta korumasıyla güçlendirmesi son derece önemli. Sophos Firewall ve uç nokta için Intercept X, sözü edilen tehditlerin yanı sıra fidye yazılımlarına ve daha fazlasına karşı koruma sağlıyor.
Sophos, ayrıca tüketicilere kötü amaçlı yazılımlardan ve siber tehditlerden korunmak için uygulamaları yasal ve güvenilir kaynaklardan indirmelerini, kendilerinin ve ailelerinin çevrimiçi iletişim ve oyun için kullandıkları tüm cihazlara Sophos Home gibi bir güvenlik çözümü yüklemelerini tavsiye ediyor.