Sahte TTF Font Dosyalarıyla Küresel Kimlik Avı: Fark Edilmesi Zor Zararlılar Yazılım

Sahte TTF Font Dosyalarıyla Küresel Kimlik Avı: Fark Edilmesi Zor Zararlılar

Fortinet araştırmacıları, sahte TrueType Font dosyalarıyla bulaşan ve kimlik bilgilerini çalan yeni bir küresel siber saldırı keşfetti. Peki bu saldır

Siber saldırganlar, Windows sistemlerine sızmak ve hassas verileri çalmak için yeni bir yöntem geliştirdi: sahte TrueType Font (TTF) dosyaları. Fortinet’in FortiGuard Labs araştırmacıları, küresel çapta yürütülen bir kimlik avı kampanyasında, yoğun şekilde gizlenmiş (obfuske edilmiş) JavaScript ve Lua tabanlı bir yükleyici kullanıldığını tespit etti. Bu yükleyici, kendini meşru bir TTF dosyası gibi göstererek güvenlik yazılımlarını atlatıyor ve sisteme uzaktan erişim truva atları (RAT) ile bilgi çalma yazılımları (infostealer) bulaştırıyor.

TTF dosyası, işletim sistemleri ve uygulamalar tarafından metin görüntülemek için kullanılan standart bir yazı tipi biçimidir. Saldırganlar bu dosyaları kullanarak, zararlı yazılımlarını tespit edilmesi zor bir hale getiriyor. FortiGuard Labs’ın raporuna göre, kampanya kapsamında gönderilen e-postalarda veya indirme bağlantılarında, kullanıcıları meşru bir font dosyası olduğuna inandırmak için TTF adımları kullanılıyor. Ancak gerçekte, bu dosyalar yürütüldüğünde sistemde arka kapı açan ve saldırganlara tam erişim sağlayan bir Lua betiğini çalıştırıyor.

Zararlı yazılımın bulaşma süreci oldukça karmaşık. İlk aşamada, kullanıcı sahte bir TTF dosyasını indirip çalıştırdığında, dosya içindeki obfuske edilmiş JavaScript kodu tetikleniyor. Bu kod, sistemde bir PowerShell komutu çalıştırarak Lua yorumlayıcısını indiriyor ve çalıştırıyor. Lua betiği daha sonra, sistemde kalıcılık sağlamak ve kimlik bilgilerini çalmak için çeşitli modüller yüklüyor. Fortinet, bu modüllerin arasında şifre çalma, klavye dinleme ve ekran görüntüsü alma gibi işlevler olduğunu belirtiyor.

Sistem Güvenliği

Bu kampanyayı diğerlerinden ayıran en önemli özellik, zararlı yazılımın düşük tespit oranına sahip olması. Birçok antivirüs yazılımı, TTF dosyalarını genellikle güvenli kabul ettiği için bu tür dosyaları taramıyor veya yalnızca yüzeyel bir inceleme yapıyor. Saldırganlar bu güven boşluğundan faydalanarak, zararlı yazılımlarını uzun süre fark edilmeden çalıştırabiliyor. Ayrıca, Lua dilinin kullanımı, zararlı yazılımın analizini zorlaştırıyor ve imza tabanlı tespit sistemlerini atlatmasına yardımcı oluyor.

Peki bu saldırıdan korunmak için neler yapılabilir? Öncelikle, bilinmeyen kaynaklardan gelen e-posta eklerini veya indirme bağlantılarını açmamak büyük önem taşıyor. Özellikle .ttf uzantılı dosyaları indirirken dikkatli olunmalı; yalnızca güvenilir kaynaklardan gelen font dosyaları kullanılmalı. Ayrıca, güvenlik yazılımlarının en güncel sürümlerinin kullanılması ve dosya tarama ayarlarının tüm dosya türlerini kapsayacak şekilde yapılandırılması öneriliyor. Fortinet, bu tür saldırılara karşı kurumsal ağlarda uç nokta koruma çözümlerinin ve davranışsal analiz araçlarının kullanılmasını tavsiye ediyor.

Sonuç ve Değerlendirme

Sonuç olarak, siber saldırganlar her geçen gün daha yaratıcı yöntemler geliştiriyor. Sahte TTF dosyaları gibi masum görünen araçlar bile ciddi güvenlik tehditleri oluşturabiliyor. Kullanıcıların ve kurumların, bu tür yeni tehditlere karşı farkındalıklarını artırmaları ve güvenlik önlemlerini sürekli güncellemeleri hayati önem taşıyor. Fortinet’in raporu, bu kampanyanın hala aktif olduğunu ve dünya genelinde birçok kurumu hedef aldığını gösteriyor.

Kaynak: csoonline.com

Paylaş: