Küresel Fidye Yazılımı Kampanyasında Sahte TTF Dosyalarıyla Gelen Sinsi Tehdit Windows

Küresel Fidye Yazılımı Kampanyasında Sahte TTF Dosyalarıyla Gelen Sinsi Tehdit

Siber saldırganlar, normal font dosyalarını kullanarak düşük tespit oranlı kötü amaçlı yazılımlar dağıtıyor. Fortinet, küresel bir kampanyada TTF dosy

Küresel çapta yürütülen yeni bir kimlik avı kampanyası, siber güvenlik dünyasında alarm zillerini çaldırıyor. Fortinet’in FortiGuard Labs araştırmacıları, saldırganların artık sıradan bir TrueType Font (TTF) dosyasını kullanarak gizli kötü amaçlı yazılımlar dağıttığını keşfetti. Bu yöntem, kimlik bilgilerini çalan ve Windows sistemlerinde kalıcılık sağlayan RAT (Uzaktan Erişim Truva Atı) ve infostealer türü zararlı yazılımları hedef alıyor. TTF dosyası, aslında işletim sistemleri ve uygulamalar tarafından metin görüntülemek için kullanılan standart bir font dosyasıdır, ancak burada bir Truva Atı olarak kullanılıyor.

Saldırının arkasındaki tehdit aktörleri, yoğun şekilde karartılmış (obfuscated) JavaScript ve Lua tabanlı bir yükleyici kullanıyor. Bu yükleyici, kendini bir TTF dosyası gibi göstererek güvenlik duvarlarını ve antivirüs yazılımlarını atlatıyor. Fortinet’in raporuna göre, bu teknik sayesinde kötü amaçlı yazılım tespit oranı oldukça düşük kalıyor. Normalde font dosyaları güvenilir kabul edildiği için, birçok güvenlik çözümü bu tür dosyaları derinlemesine incelemez. İşte saldırganlar bu güven boşluğundan yararlanıyor.

TTF dosyası kılığındaki Lua tabanlı yükleyici, sistemlere sızdıktan sonra arka planda bir dizi kötü amaçlı işlem başlatıyor. Öncelikle, kullanıcıların kimlik bilgilerini hedef alan bir infostealer modülü devreye giriyor. Bu modül, web tarayıcılardan, e-posta istemcilerinden ve diğer hassas uygulamalardan şifreler, oturum açma bilgileri ve kredi kartı verilerini topluyor. Aynı zamanda, sisteme kalıcı erişim sağlamak için bir RAT yerleştiriliyor. Bu RAT, saldırganlara uzaktan komut çalıştırma, dosya transferi ve ek yükler indirme yeteneği veriyor.

Fortinet araştırmacıları, bu kampanyanın özellikle işletmeleri hedef aldığını belirtiyor. Sahte TTF dosyaları, genellikle e-posta ekleri veya güvenilir web sitelerindeki indirme bağlantıları aracılığıyla dağıtılıyor. Saldırganlar, sosyal mühendislik taktikleri kullanarak kullanıcıları bu dosyayı indirmeye ikna ediyor. Örneğin, bir güncelleme bildirimi veya önemli bir belge gibi görünen sahte bir TTF dosyası, kullanıcı tarafından çift tıklandığında aslında kötü amaçlı yazılımın çalışmasını tetikliyor.

Bu tür saldırılardan korunmak için kullanıcıların ve kurumların alabileceği bazı önlemler var. Öncelikle, tanımadığınız kaynaklardan gelen e-posta eklerini veya indirmeleri dikkatle inceleyin. TTF dosyaları normalde bir font dosyası olarak çalıştırılmamalıdır; bu nedenle, bir TTF dosyasını çalıştırmanızı isteyen herhangi bir uyarıya karşı şüpheci olun. Ayrıca, güvenlik yazılımlarınızı güncel tutun ve özellikle davranış tabanlı algılama özelliklerini etkinleştirin. Fortinet’in tespit ettiği bu yeni teknik, geleneksel imza tabanlı antivirüslerin yetersiz kalabileceğini gösteriyor.

Sonuç olarak, siber suçluların yöntemleri sürekli evrim geçiriyor. Daha önce masum görünen font dosyaları bile artık birer tehdit vektörü haline geldi. Bu kampanya, özellikle Windows kullanıcıları için büyük bir risk oluşturuyor. FortiGuard Labs, bu tür saldırılara karşı farkındalığın artırılması gerektiğini vurguluyor. Kullanıcıların, bilinmeyen kaynaklardan gelen her türlü dosyayı dikkatle değerlendirmesi ve güvenlik politikalarını buna göre güncellemesi kritik önem taşıyor.

Kaynak: csoonline.com

Paylaş: